Securing Web Applications - Websicherheit

Die Marktuntersuchungen heben immer wieder hervor, dass mehr als die Hälfte aller Sicherheitslücken in Webanwendungen sich auffinden lassen. Trotzdem stellen weniger als 10% von Organisationen sicher, dass die Sicherheit Ihrer kritischen Webanwendungen vor- und während der Produktion geprüft wird.

Die Gründe dafür sind vielfältig. Nicht nur der hohe Aufwand von manuellen Penetrationstests und die damit verbunden Kosten stellen eine Hürde dar, sondern auch der erforderlicher Zeitaufwand, der öfter zu einer Verlangsamung des Software-Entwicklungsprozesses führt. Dies ist insbesondere in Agilen und DevOps-Projekten nicht realisierbar.

Die Veracode-Testplattform setze genau in diesem Punkt an und bietet Organisationen an, Ihre Webapplikationen automatisiert zu testen ohne viel Geld und Zeit in manuellen Penetrationstests zu investieren. Die Plattform ist hoch skalierbar und kann tausende Webanwendungen gleichzeitig auf Sicherheitslücken scannen.

Discovery und kontinuierliche Überwachung all ihrer Webanwendungen auf dem Perimeter

Veracode Web-APM (Web-Application Perimeter Monitoring) ist eine ganzheitliche Vorgehensweise, um die Webanwendungen von Organisationen zu Identifizierung und auf Sicherheitslücken zu testen.

Laut SANS wissen zahlreiche Organisationen noch nicht einmal, wie viele Anwendungen in ihren Domänen vorhanden sind. Unser Discovery-Service beseitigt diese Sichtbarkeitslücke, indem ein Internet-scan gestartet wird, um alle öffentlich zugänglichen Webseiten eines Unternehmen zu identifizieren. Diese können Unternehmenswebseiten, oder auch temporäre Marketing- und Staging-Webseiten sein. Subdomains wie mail.*, ftp.*  werden ebenfalls dabei identifiziert. 

Beim Discovery-Prozess wird Anhand eines IP-Ranges und Domainnamen ein Scan gestartet. Dabei kommen mehrere Suchalgorithmen zu Einsatz. Unsere skalierbare Cloud-Plattform erlaubt es uns Tausende Webseiten am Tag zu ermitteln.

Darüber hinaus wird beim Discovery unsere massiv parallele und automatisch skalierende Infrastruktur eingesetzt, um Tausende Anwendungen am Tag zu ermitteln.

DynamicMP (Massiv Parallel) führt ein paralleles Security-Baselining Ihrer öffentlichen Webanwendungen durch. Es können dabei tausende Webanwendungen gleichzeitig und mit leichten, nicht authentifizierten Scans dynamisch untersucht werden. Damit können wir hochanfällige Schwachstellen (z. B. OWASP Top 10) sehr schnell identifizieren, die Sie dann in die WAF exportieren können, bis diese Schwachstellen endgültig von den Entwicklern beseitigt werden. 

DynamicDS (Deep Scan) führt zur Laufzeit einen umfassenden und tiefgreifenden Scan einzelner Webseiten durch. DynamicDS kann alle Sicherheitsschwachstellen vor und nach der Authentifizierung erfassen. Dabei werden weitere Angriffsvektoren gesucht, wie unzureichend geschützte Anmeldedaten, Konfigurationsfehler und Informationslecks. Webapplikationen, die hinter der Firewall sind können mit der Virtual Scan Appliance (VSA) abgedeckt werden.

 

 ...mehr hier.

Sichere Webanwendungsentwicklung

Bei einer Befragung von 12.000 Sicherheitsexperten zu den Bedrohungslage durch Cyber-Angriffen, gaben 69 % der Befragten an, dass Schwachstellen auf Anwendungsebene eine große Rolle spielen. Dennoch stellen weniger als 10 % sicher, dass die Sicherheit all ihrer geschäftskritischen Anwendungen vor und während der Produktion geprüft wird.

Offensichtlich benötigen Organisationen eine bessere Skalierungsmöglichkeit für ihre Programme zur sicheren Entwicklung, damit sie ihre gesamten Anwendungsinfrastrukturen auf kostengünstige Weise schützen können, ohne dass mehr Berater eingestellt oder mehr Server und Tools installiert werden müssen. ...mehr hier.

 


Unser strategischer, richtlinienbasierter Ansatz zur Anwendungssicherheit basiert auf einer zentralen Cloud-basierten Plattform, die gemäß Ihrer globalen Anwendungsinfrastruktur skaliert werden kann.

Sicherheitsrisiko durch 3rd-Party und OpenSource-Komponenten

Kommerzielle Anwendungen bestehen zu mehr als zwei Drittel aus Komponenten von Drittanbietern oder Open Source-Komponenten. Beispiele dafür sind Bibliotheken und kommerzielle Module, die es den Entwicklern ermöglichen bestehende Funktionalitäten zu nutzen ohne das Rad neu erfinden zu müssen. Dies hat natürlich den Vorteil, dass Softwareanwendungen damit schnell erstellt werden können. Anderseits werden die damit vererbten Sicherheitsrisiken unterschätzt.  ...mehr hier.

 

Quelle: Quocirca

Compliance optimieren

Gemäß dem Verizon PCI-Compliance-Bericht waren 84 % aller Organisationen nicht Compliant mit den Sicherheitsrichtlinien auf Anwendungsebene (Anforderung 6)— im Vergleich zu durchschnittlich nur 47 % aller von Verizon-QSAs im Jahr 2013 bewerteten Organisationen. Dies weist auf einen erheblichen Zusammenhang zwischen der Wahrscheinlichkeit einer Datensicherheitsverletzung und der Nichteinhaltung von Anwendungssicherheit hin.

Unsere Plattform bewertet Anwendungen im Hinblick auf Compliance mit Standard-Richtlinien, wie PCI, den OWASP Top 10 und den CWE/SANS Top 25. Richtlinien können einfach angepasst werden, um spezielle Unternehmensauditanforderungen sowie Compliance-Anforderungen für SOX, HIPAA, NIST 800-53, MAS und andere Vorgaben zu erfüllen.  ...mehr hier.