Runtime Application Self-Protection
Anwendungssicherheit neu denken
Firewalls agieren wie Burgwachen, die auf der Außenmauer stehen und die Landschaft nach feindlichen Armeen absuchen. Was aber, wenn sich Angreifer an ihnen vorbeischleichen? Wer hindert sie daran, die Schatzkammer zu plündern und den König zu ermorden? RASP postiert Wachen im Inneren der Burg.
Die Werkzeuge der Perimetersicherheit teilen eine gemeinsame Schwachstelle: den eingeschränkten Blickwinkel. Firewalls können ein- und ausgehende Datenströme kontrollieren – das Innenleben der Systeme aber bleibt ihnen verborgen.
Aktuellen Statistiken zufolge sind mehr als die Hälfte aller Unternehmensanwendungen durch Cross-Site-Scripting (XSS) und mehr als ein Drittel durch SQL-Injections gefährdet. Cyberkriminelle nutzen diese Schwachstellen seit Jahren, um Systeme zu infiltrieren, Kontrolle über kritische Infrastruktur zu erlangen oder Daten zu entwenden. IT-Abteilungen standen im gleichen Zeitraum vor der Herausforderung, Lücken in ihren vorhandenen Anwendungen zu schließen, zugleich aber auch fortlaufend neue Apps in ihre Systeme zu integrieren. Die Zahl potenzieller Schwachstellen steigt damit kontinuierlich an – ein Wettlauf gegen die Zeit. Um den Sicherheitsrisiken Herr zu werden, bedarf es deshalb entweder einer massiven Aufstockung des Personals oder neuer, effizienterer Technologien. Runtime Application Self-Protection (RASP) zählt zu den derzeit wohl vielversprechendsten Ansätzen.
RASP schützt die Anwendung, nicht das Netzwerk
Firewalls überblicken ausschließlich den Datenverkehr mit der Außenwelt; das Innere von Anwendungen stellt für sie ein Mysterium dar. RASP hingegen bewegt sich nicht am Perimeter, sondern auf Ebene der Anwendungen. Sein Alleinstellungsmerkmal besteht darin, dass es ihre gesamte Funktionalität im Blick behalten kann. Außerdem stellt es Features zur Verfügung, die Angriffe automatisiert und mit hoher Zuverlässigkeit erkennen, blockieren und melden.
Der Unterschied zwischen RASP und herkömmlichen Sicherheits-Tools lässt sich am besten anhand eines Beispiels erläutern – der klassischen SQL-Injection. Bei diesem häufigen Angriffsszenario versucht der Angreifer, mittels manipulativer Benutzereingaben eigene Befehle in die Anwendung einzuschleusen. Selbst komplexe Perimeter-Werkzeuge wie Intrusion-Prevention-Systeme (IPS) können solche Szenarien lediglich anhand eines einzigen Kriteriums identifizieren: der Beschaffenheit der Eingabedaten. Um ein zweifelsfreies Urteil zu fällen, reicht das oft nicht aus. Der Teufel steckt im Detail - bereits ein einzelnes eingeschmuggeltes Funktionszeichen genügt mitunter, um eine SQL-Query aus dem Ruder laufen zu lassen. Der Einbruch in das System ist dann ein Kinderspiel. RASP hingegen wertet nicht nur die Benutzereingaben aus, sondern untersucht auch die Vorgänge auf Anwendungsebene: Welche Query resultiert aus den Eingaben? Wie sieht das Ergebnis aus, das die Datenbank liefert? Welche Manipulationen finden statt und welche möglicherweise kritischen Daten würden im Falle der Ausführung der Query an den Nutzer ausgegeben? Antworten auf all diese Fragen fließen mit ein, wenn RASP zwischen legitimen Datenbankzugriffen und SQL-Injections zu unterscheiden versucht.
Konzepte zur Aufrechterhaltung der Perimetersicherheit sind in der Praxis zunehmend schwieriger umzusetzen. Mobile Connectivity und die Cloud-Revolution lassen die Grenzen zwischen Systemen verschwimmen, durch Outsourcing und Konzepte wie Bring-Your-Own-Device (BYOD) wird außerdem mit großer Regelmäßigkeit fremde Technik in das Unternehmensnetzwerk eingeführt. Firewalls greifen deshalb längst nicht in allen Fällen. Gerade auch beim Deployment von Anwendungen auf Mobilgeräte sollte nicht darauf vertraut werden, dass das Betriebssystem mögliche Angreifer abwehren kann. Den Schutzschild direkt in die Runtime-Umgebung einzubauen, erscheint hier deshalb opportun.
- Anwendungssicherheit neu denken
- Melden und Blockieren
Lesen Sie mehr zum Thema
