Anwendungsschutz in Cloud-Umgebungen
Durchblick mit Application Security
Fortsetzung des Artikels von Teil 1
Automatische Erkennung von Schwachstellen
Bei herkömmlichen Ansätzen führen Entwickler ihre Sicherheits-Scans nur in der Vorproduktion durch und erhalten stichprobenartige oder zeitgesteuerte Ergebnisse. Diese Schwachstellen-Scanner bieten eine statische Ansicht zu einem bestimmten Zeitpunkt. Moderne Tools können dagegen Laufzeit-Einblicke in bestimmte Plattformen wie Kubernetes oder Container geben. Doch nicht alle erkennen, welche Bibliotheken tatsächlich zum Einsatz kommen und welche zwar vorhanden, aber nicht in Gebrauch sind. Sie können auch keine tiefen Einblicke geben, wenn kein Zugriff auf den Quellcode existiert. Um in dynamischen Umgebungen neue Releases sicher freizugeben, ist eine vollständige Transparenz über alles nötig, was von der Vorproduktion bis zur Produktion läuft. Application-Security-Lösungen müssen diese Einblicke bis hinunter zu einzelnen Transaktionen mit Details auf Code-Level und fast ohne Overhead bieten. Dazu sollten sie die folgenden Funktionen bieten:
- Automatische und kontinuierliche Schwachstellenerkennung mit vollständiger Laufzeittransparenz,
- tiefgehende Einblicke in die Produktionsausführung, einschließlich Open-Source-Komponenten, proprietärer Software und Container und
- vollständige Abdeckung von Produktions-Rollbacks, veralteten Releases, Feature Flags, Canary und Blue/Green Deployments.
Risiko- und Auswirkungsanalyse vermeidet Fehlalarme
Um die richtigen Prioritäten zu setzen, müssen Unternehmen die Schwere einer Sicherheitslücke verstehen. Wer sich ausschließlich auf die CVSS-Bewertung (Common Vulnerability Scoring System) verlässt, beschäftigt sich häufig mit Fehlalarmen. Um beurteilen zu können, ob eine Schwachstelle ein echtes Problem darstellt, müssen die Verantwortlichen wissen, ob die betreffende Bibliothek tatsächlich geladen und aktiv genutzt ist. Eine Lösung für Application Security sollte daher neben dem CVSS einer Schwachstelle auch Details über die Anwendung kennen: ihre realen Nutzersitzungen, ihre Verbindung mit Datenbanken, ihre Erreichbarkeit vom öffentlichen Internet aus, ihr Traffic-Aufkommen und mit welchen anderen Diensten sie kommuniziert. Nur anhand dieser Echtzeit-Informationen kann die Lösung den Schweregrad von Schwachstellen vollständig und automatisch bewerten. Für DevSecOps-Teams bedeutet dies, dass aus Hunderten oder Tausenden von offenen Schwachstellen ein automatisches Herausfiltern derjenigen erfolgt, die sofort zu untersuchen sind. Die Lösung analysiert dazu kontinuierlich die Datenzugriffspfade und die Produktionsausführung, um eine automatische und präzise Risikobewertung in Echtzeit bereitzustellen. Das reduziert False Positives und identifiziert die größten Risiken.
Digitale Services sicher bereitstellen
Sobald Schwachstellen erkannt und priorisiert sind, besteht die Herausforderung in der effektiven Problembehebung. Sicherheitsteams verwenden oft eine Vielzahl von Schwachstellen-Scannern ohne Integration in eine Workflow-Management-Plattform. Wenn das Sicherheitsteam beispielsweise eine neue Schwachstelle findet, muss es die Ergebnisse in umsetzbare Aufgaben übersetzen, ein Ticket erstellen, den verantwortlichen Entwickler finden und manuell prüfen, ob die Schwachstelle behoben ist. Für einen schnellen Ansatz benötigen Teams einen automatischen Echtzeiteinblick in den Prozess, indem sie eine geschlossene Feedbackschleife nutzen. Dazu bietet eine Application-Security-Lösung automatisches Schwachstellen-Management von der Erkennung bis zur Behebung. Eine intelligente Observability-Plattform für Geschäfts-, Entwicklungs-, Betriebs- und Sicherheitsteams ermöglicht eine effektive Zusammenarbeit auf Basis einheitlicher Daten. Sie zeigt verschiedene Perspektiven für die Teams, mit Echtzeitdaten zu den Auswirkungen von Schwachstellen und forensische Analysen bis auf Code-Ebene für Entwickler und Sicherheitsspezialisten. Zudem unterstützt sie DevSecOps-Prozesse wie Continuous Delivery und „Shifting Left“, sodass Teams Probleme früher erkennen und die Automatisierung von der Entwicklung bis zur Produktion vorantreiben können.
Andreas Berger ist Lead Product Engineer bei Dynatrace, www.dynatrace.com.
- Durchblick mit Application Security
- Automatische Erkennung von Schwachstellen
Lesen Sie mehr zum Thema
