Anwendungssicherheit
Wenn Sicherheit der schnellen Markteinführung geopfert wird
Der Druck auf Unternehmen steigt, Anwendungen in ihren Netzwerken zügig zu implementieren. Dadurch sehen sich die Entwickler gezwungen, die Anwendungen schnellstmöglich einzuführen - oft auf Kosten der Sicherheit.
Darüber hinaus gibt es aber laut F5 Networks noch weitere Gründe, warum Anwendungen angreifbaren Code enthalten. Zum einen wissen manche Entwickler nicht, wie man sicheren Programmcode schreibt, zum anderen wird manchmal auch schlampig programmiert. Deshalb lässt sich die Sicherheit im Unternehmen oftmals deutlich verbessern, indem man erfahrene und qualifizierte Anwendungsentwickler einstellt und behält; so lassen sich sichere Codierprozesse und IT-Standards leichter durchsetzen.
Umgebungen mit ständig wechselnden Risiken erfordern höheren Aufwand beim Testen der Anwendungen - nur so lässt sich höhere Anwendungssicherheit gewährleisten. In vielen Unternehmen werden Anwendungen gar nicht auf Bedrohungen oder Schwachstellen getestet, oder Tests werden nicht fest eingeplant. Außerdem führen zu wenige Unternehmen Anwendungstests durch, wenn sich der Code ändert.
Anwendungen absichern
Viele Unternehmen wenden sich an Anwendungsspezialisten, die ihnen dabei helfen sollen, Netzwerkimplementierungen in der Cloud, im Rechenzentrum bzw. per Software nahtlos zu skalieren, mit dem Ziel, sichere Anwendungen für jeden, jederzeit und an jedem Ort bereitzustellen. Durch den wirtschaftlichen Druck, Anwendungen schnell zu veröffentlichen und den Nutzern Zugang auf die Software von ihrem Arbeitsplatz aus zu geben, ergeben sich Situationen, in denen Standards Kompromissen geopfert werden. Angesichts der vielfältigen Cyberbedrohungen darf es heute jedoch keinen Spielraum für Fehler geben, die die Datensicherheit gefährden.
Man sollte sich derzeit nicht allzu sehr darauf verlassen, dass Programmierer sichere Designprozesse einhalten, etwa bei der Bedrohungsmodellierung oder der Risikoanalyse der Architektur. Darüber hinaus ist es für Entwickler auch ein Muss, sichere Testprozeduren zu befolgen und den Code manuell auf Sicherheitsmängel hin zu testen. Dazu sollten sie Tools zur statischen Codeanalyse nutzen, die Softwaresicherheitsanforderungen analysieren und speziell auf Sicherheit ausgelegte Testpläne und Testfälle erstellen.
DevOps, also die kontinuierliche Integration, soll die Anwendungssicherheit verbessern. Viele Unternehmen betrachten diese Funktion als einen robusteren Weg, um die Prozesse im Anwendungsentwicklungs-Lebenszyklus zu verbessern. Nur wenige haben Tenant-Isolation-Verfahren oder Modelle zur Trennung von Anwendungs-Traffic und -daten implementiert.
Als Zwischenlösung steht mit virtuellem Patching eine temporäre Strategie zur Verfügung, die manchmal dazu genutzt wird, Risiken zu mindern, die mit der Entdeckung neuer Sicherheitslücken entstehen. Damit wird die potenzielle Bedrohung ausgeschaltet, dass Sicherheitslücken in der Anwendung oder im System identifiziert und durch Hacker ausgenutzt werden. Dieser Ansatz erlaubt es Entwicklern und den für die Sicherheit zuständigen Administratoren, die Anwendungen und Systeme weiterlaufen zu lassen, bis ein Sicherheits-Fix entwickelt, implementiert und getestet ist. Virtuelles Patching ist allerdings keine langfristige Lösung.
Maximale Performance
Die Produkteinführungszeit von Updates zu verkürzen und Industriestandards einzuhalten, ist unerlässlich, wenn ein Unternehmen sicherstellen will, dass es in der Lage ist, Sicherheitsrisiken zu mindern und Schwachstellen zwischen Entwicklung und Implementierung zu beseitigen. Anwendungssicherheit ist in der Banken-, Finanz- und Versicherungsbranche unverzichtbar; in vielen weiteren Branchen, darunter der Fertigung, sind Dienste zur Zugangs- und Identitätssteuerung kritische Elemente, um einen positiven Sicherheitsstatus aufrechtzuerhalten und gleichzeitig den Nutzern Zugang zu den Anwendungen von überall aus und jederzeit bereitzustellen.
Es ist allgemein bekannt, dass es an Spezialisten für Anwendungsentwicklung mangelt. Mit zunehmender Akzeptanz neuer Technologien wie Cloud, Internet der Dinge (Internet of Things, kurz: IoT) und Anwendungsentwicklung, wird es immer wichtiger, neue Entwicklertalente zu fördern und sicherzustellen, dass sie sichere Codierpraktiken einhalten, um die Prozesse zu verbessern. Dazu zählen auch Penetrationstests und das Verlangsamen der Anwendungsauslieferungszyklen in ihren Unternehmen sowie der Einsatz automatisierter Scan-Tools, mit denen man die Anwendungen auf
Schwachstellen prüft und das Laufzeitverhalten überwacht, um Manipulationen zu erkennen.
Die Ausführung der Anwendungen in einer sicheren Umgebung hat erhebliche Vorteile für die Unternehmen und sorgt für bessere Nutzererfahrungen. Überstürzte Auslieferung dagegen kann dazu führen, dass die Anwendungen nicht mehr verfügbar sind. Nachdem Cybercrime nach wie vor die virtuelle Welt plagt, ist Anwendungsüberprüfung ein erfolgversprechenderer Ansatz beim Schutz sensibler Daten, bei der Minimierung von Ausfallzeiten und bei der Maximierung der Performance für Endnutzer.
Lesen Sie mehr zum Thema
