Fünf häufige Irrtümer beim Applikationsschutz

0
63

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Jedes Jahr investieren Unternehmen viel Geld in die neuesten Sicherheitstechnologien, um die Vertraulichkeit ihrer Daten und die Benutzerfreundlichkeit zu gewährleisten. CISOs setzen auf maschinelles Lernen, Automatisierung und die Koordination von Ereignisanalyse und Abwehrmaßnahmen. Außerdem vertrauen sie Public-Cloud-Anbietern und ihrem Systemintegrator. Trotzdem kommt es weiterhin zu Datensicherheitsverletzungen.

1. Irrtum: „Ich dachte, eine WAF reicht aus“

Das Ignorieren zusätzlicher Bedrohungen für Applikationen geht längst über Exploits hinaus, bei denen die von OWASP aufgelisteten Top-10-Risiken für Webapplikationen ausgenutzt werden. Natürlich sind Injections, Cross-Site-Scripting, CSRF, Session-Hijacking und Cookie-Poisoning weiterhin an der Tagesordnung, insbesondere weil so viele ältere Systeme mit Sicherheitslücken eingesetzt werden. Entwicklungsteams legen mehr Wert auf Agilität als auf Sicherheit. Die Angriffsfläche und damit die Risiken sind heutzutage jedoch wesentlich größer.

Drei weitere Bedrohungen, die es abzuwehren gilt:

1. Schädliche Bots – Ein Viertel des Internetdatenverkehrs wird von bösartigen Bots generiert [CB1]. Angesichts der Netzwerkauslastung und der ständigen Versuche, Benutzerkonten zu übernehmen, Online-Transaktionen zu manipulieren und sensible Daten auszuspähen, können sich Unternehmen nicht nur auf ihre Web Application Firewall verlassen – oder sogar mühsam eigene maßgeschneiderte Skripte entwickeln. Stattdessen müssen sie sich über eine spezialisierte Bot-Management-Lösung Gedanken machen, die gute Bots zielsicher hereinlässt und heimtückischen Bots einen Riegel vorschiebt.

2. API-Schutz – für miteinander verbundene Systeme und Applikationen, die Daten über APIs austauschen. Diese gelten gemeinhin als vertrauenswürdig und können somit leicht übersehen werden. Datendiebstahl über mangelhaft geschützte APIs hat bereits mehrfach für Schlagzeilen gesorgt (PaneraBread, Venmo, Boots usw.). Unternehmen wissen nicht immer genau Bescheid, welche APIs sie besitzen, welche Daten verarbeitet werden und wer darauf zugreifen kann. Deshalb benötigen sie ein geeignetes Tool zum Erkennen, Klassifizieren und Schützen aller API-Endpunkte.

3. Denial of Service – ein Problem, das längst nicht mehr nur Netzwerkbetreiber betrifft. Webserver und digitale Assets werden häufig von Kriminellen angegriffen, die Services unterbrechen oder eine Website lahmlegen möchten. Deshalb wird wärmstens empfohlen, umfassenden DDoS-Schutz in die Strategie für Applikationssicherheit zu integrieren.

2. Irrtum – „Ich war versucht, meine WAF mit dem CDN-Dienst zu bündeln“

Das hört sich zunächst sinnvoll an. Wenn Ihnen Leistung wichtiger ist als Ihre sensiblen Kundendaten, können Sie das so machen. Doch wenn Ihnen der Schutz des Unternehmens und seiner Benutzerdaten am Herzen liegt, sollten Sie diese Maßnahme noch einmal überdenken. Aufgrund ihrer Architektur kann eine WAF an der Netzwerkgrenze den Datenverkehr pro Applikation nicht sehen und somit keine Lernmechanismen, Anomalie-Erkennung und positive Sicherheit anwenden. Dadurch fehlt der Zero-Day-Schutz. Bei diesen Applikationen können Datenlecks entstehen, da sie vor unbekannten Angriffsmethoden nicht geschützt sind.

In Public-Cloud-Umgebungen ist diese Lücke sogar noch größer, weil die WAF-Technologie des IaaS-Providers – die nicht von einem spezialisierten Unternehmen stammt – in Analystenberichten in der Regel schlecht abschneidet. Mehr dazu in unserem früheren Blogartikel.

3. Irrtum – „Ich kann dieselbe Sicherheit auf allen Plattformen durchsetzen“

Das ist in der Tat ein wunder Punkt. Unternehmen, die dieselbe Richtlinie für Applikationssicherheit über alle Umgebungen hinweg anwenden möchten – Rechenzentren, private Cloud, Azure, AWS, GCP und Alibaba oder Tencent – müssen zwangsläufig Kompromisse eingehen. Das liegt daran, dass jede Umgebung und jeder Anbieter bestimmte Anpassungen erfordert, z. B. Zugriffsberechtigungen, Infrastrukturschutz, Authentifizierungs- und Autorisierungsmechanismen, Bot-Traffic-Kontrollen, API-Sicherheitstools am Backend usw.

Wenn Sie sich für Konsistenz entscheiden (z. B. einen Cloud-basierten gemanagten Service), müssen Sie sowohl bei der Benutzererfahrung (Latenz) als auch bei der Sicherheit (siehe Punkt 2 oben) Abstriche machen. Setzen Sie hingegen auf Sicherheitsoptimierung, müssen Sie für jede Umgebung maßgeschneiderte Lösungen finden und diese mit viel Zeit- und Ressourcenaufwand ständig aktualisieren, um die vom CISO gewünschte Sicherheitsrichtlinie durchzusetzen.

Auch in diesem Szenario wird Ihr Sicherheitskonzept zum „Schweizer Käse“, dessen potenzielle Konsequenzen offensichtlich sind. Hier finden Sie einige empfohlene Praktiken.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

4. Irrtum – „Ich dachte, ich könnte alle Ausnahmen selbst verwalten“

Web Application Firewalls genießen seit jeher einen schlechten Ruf – und das aus gutem Grund. Zu viele legitime Regeln wurden durch Regeln und Konfigurationen blockiert, die nicht mit den Geschäftsanforderungen im Einklang standen. Die Auswirkungen davon können verheerend sein, denn eine schlechte Nutzererfahrung führt zu einer negativen Markenbewertung und zu sinkenden Umsätzen. Die TCO für die Verwaltung einer WAF im eigenen Haus kann aufgrund des Arbeitsaufwands sehr hoch sein. Außerdem ist dies eine Sache für Experten – insbesondere wenn alle der oben genannten Sicherheitsbedrohungen berücksichtigt werden. Weniger geschulte Blicke können die zahllosen Alarmmeldungen von verschiedenen Einzellösungen nicht gezielt filtern. Durch eine konsolidierte Strategie für Applikationssicherheit, die von Experten mit fortschrittlicher Automatisierung und aussagekräftigen Analysen verwaltet wird, sinkt die TCO erheblich. Gleichzeitig wird Sicherheit im Handumdrehen bereitgestellt.

[Das könnte Sie auch interessieren: How To Achieve Application Protection Behind AWS/Azure CDN]

5. Irrtum – „Ich dachte, DevOps würde zuhören“

Manche Angriffe sind aufgrund mangelhafter und unzusammenhängender Sicherheitsmaßnahmen erfolgreich, die von fehlerhaften Prozessen und internen Konflikten geprägt sind. Moderne Applikationsentwicklung und Sicherheitsverfahren sind so dynamisch, dass Sicherheitslösungen und vor allem Mitarbeiter nicht mehr Schritt halten können. Aus Sicht der Entwickler stehen so viele Möglichkeiten zur Verfügung, um mit automatisierten Bereitstellungs-, Test- und Orchestrierungstools die perfekte CI/CD-Pipeline zu erstellen. Agilität bedeutet zügiges Voranschreiten – zur nächsten Version, zum nächsten Patch, zum nächsten Bugfix – anstatt abzubremsen, um jede Transaktion oder jedes Modul zu überprüfen. Weil Produktivität immer an erster Stelle steht, muss Sicherheit irgendwie mitziehen. Mit diesem heiklen Gleichgewicht geht jedes Unternehmen auf seine Weise um. Da DevOps immer mehr Einfluss auf sicherheitsrelevante Entscheidungen nehmen, müssen die für Informationssicherheit zuständigen Mitarbeiter berücksichtigen, dass eine Applikationssicherheitslösung weit mehr leisten muss, als nur Angriffe abzuwehren. Sie sollte sich gut in das SDLC-System einfügen und anpassungsfähig sein, um die Richtlinie nach jeder Änderung an der Applikation wieder genau darauf abzustimmen. Außerdem müssen die Leistungskennzahlen und die umgebungsübergreifende Automatisierung für DevOps hinreichend transparent sein. So lässt sich der Prozess sinnvoll gestalten, damit alle Beteiligten zufrieden sind.

Die Vermeidung dieser Irrtümer ermöglicht eine Strategie für Applikationssicherheit mit folgenden Merkmalen:

• Konsistent

• Transparent

• Anpassungsfähig

• Effektiv

Une image contenant texte, extérieur, signe, jour

Description générée automatiquement

Laden Sie den „Hacker’s Almanac 2021 – Series 1“ von Radware herunter.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here