ACP | Security - Application Security

Ohne den Einsatz von Anwendungen ist heute kaum ein Unternehmen geschäftsfähig. Von der Kommunikation über das Bereitstellen des Kernangebots bis hin zur Datenverwaltung: Applikationen sind nicht mehr wegzudenken aus dem modernen Berufsalltag, und zwar branchenübergreifend. Sie steigern die Effizienz und stellen Wettbewerbsfähigkeit sicher, erleichtern die Arbeit und gleichen sogar Fachkräftemangel aus. Der Haken? Apps weisen häufig Sicherheitslücken auf. Diese Schwachstellen dienen Cyberkriminellen als Einfallstor. Application Security ist daher ein zentraler Bestandteil einer umfänglichen Sicherheitsstrategie.

Was umfasst Application Security?

Application Security zielt darauf ab, Bedrohungen und Manipulationen durch nicht autorisierte Zugriffe auf Software abzuwehren – und so das Risiko von Angriffen und Datendiebstahl zu reduzieren.

Vorrangig wird versucht, die App bereits in der Entwicklungsphase so sicher wie möglich zu gestalten (Security by Design) und vor dem realen Einsatz sämtliche Schwachstellen durch Testings auszumerzen. Allerdings wachsen Anwendungen über die Zeit, weshalb zunehmend Möglichkeiten nachgefragt werden, diese auch nach dem Deployment abzusichern.

Häufige Angriffsvektoren

Hacker suchen für ihre Angriffe gezielt nach Schwachstellen. Die folgende Übersicht zeigt einige der häufigsten Angriffsvektoren, sie ist jedoch nicht abschließend. Entwickler und Sicherheitsteams sollten daher eigenentwickelte Anwendungen regelmäßig auf den Prüfstand stellen und sich immer proaktiv über die aktuelle Bedrohungslage informieren. Eine gute Anlaufstelle dafür ist beispielsweise der Warn- und Informationsdienst WID des Computer Emergency Response Teams der Bundesverwaltung (CERT-Bund). Dieser veröffentlicht neben aktuellen Bedrohungen für IT-Systeme auch Informationen über neue Schwachstellen und Sicherheitslücken von Applikationen wie zum Beispiel Browser, Messenger-Dienst, Mail-Client oder Office-Anwendung.

Fehlende Sicherheitsupdates

Unzureichende Absicherung von APIs

Unsichere Deserialisierung

Injection-Angriffe

Sicherheitslücken in Bibliotheken oder Frameworks

Fehlerhafte Konfiguration

Third-Party Code

Unzureichende Authentifizierung oder Autorisierung

Unsichere Dateiuploads

Welche Tools für sichere Apps gibt es?

Methoden der Application Security lassen sich in zwei Gruppen aufteilen. Beide sind für einen umfassenden Schutz von Unternehmensanwendungen wichtig. Tools für Aplication Security Testing (AST) helfen, Schwachstellen frühzeitig zu erkennen und zu beheben, bevor die Anwendung in Produktion geht. Im Gegensatz zu AST schützen Application-Shielding-Lösungen die Applikationen nach ihrer Bereitstellung vor Angriffen. Auch bekannt als Anwendungshärtung oder In-App-Protection, verleihen diese Lösungen Ihren Anwendungen bildlich gesprochen eine Rüstung. Ziel ist es, Angriffsvektoren zu minimieren und die App damit widerstandsfähig gegen Angriffe gerissener Cyberkrimineller zu machen.

Application Security Testing Tools

DAST-Tools simulieren einen externen Angriff auf eine laufende Anwendung und identifizieren so Schwachstellen wie Injection-Angriffe oder Cross-Site-Scripting.

Wie der Name Static Application Security Testing schon sagt, analysieren SAST-Tools (auch „White-box“-Tools genannt) den Quellcode statisch, bevor die Anwendung ausgeführt wird, also im Rahmen der Entwicklungsphase des Software Development Life Cycle.

IAST-Tools kombinieren die Ansätze von SAST und DAST. Ziel des dynamischen Interactive Application Security Testing ist, Probleme während des Betriebs zu identifizieren, wie beim DAST. Die Tools laufen jedoch innerhalb des Anwendungsservers und bewerten den Code wie SAST-Tools.

Penetrationtests hingegen sind manuelle Tests. Bei den PenTests versuchen Sicherheitsexperten, Schwachstellen in einer Anwendung zu finden, indem sie die Perspektive eines Hackers einnehmen. Da die Tests nicht automatisiert sind, erfordern sie spezielle Kenntnisse und Fähigkeiten.

Application-Shielding-Lösungen

RASP-Tools sind in der Lage, Angriffe in Echtzeit zu erkennen und darauf zu reagieren, indem sie den Anwendungscode während der Ausführung überwachen. Damit lassen sich Anomalien erkennen und bösartige Aktivitäten zeitnah blockieren.

Code Obfuscation Tools verschleiern den Anwendungscode, um Reverse Engineering und statische Analyse zu erschweren. Durch die Veränderung des Codes wird es für Angreifer schwieriger, Schwachstellen zu identifizieren.

Die Erkennung von Angriffen, Malware und ungewöhnlichem Verhalten ist auch Ziel von Threat Detection Tools. Dafür analysieren sie den Netzwerkverkehr, die Protokolle und die Anwendungsaktivitäten.

Das können wir für Sie tun

Viele Unternehmen verlagern ihr Produktportfolio zunehmend in den digitalen Raum, was eine komplexe Infrastruktur für ihre Anwendungen mit sich bringt. Zudem sind die Verantwortlichkeiten für Application Security oftmals über verschiedene Teams in der IT-Abteilung verteilt. Wir helfen Ihnen in allen Fragen zur Application Security und finden und implementieren gemeinsam mit Ihnen die passende Lösung – die für alle Abteilungen und Verantwortlichen in Ihrem Unternehmen passt.

Neben der Beratung und Implementierung im Bereich Anwendungssicherheit, bieten wir aber immer auch einen Blick auf Ihre ganzheitliche Security-Strategie an. Denn die IT-Sicherheit ist nur so stark wie das schwächste Glied in der Kette. Lassen Sie sich von unseren Spezialistinnen und Spezialisten zum Thema IT-Sicherheit beraten – sie passen unsere Lösungen individuell auf Ihre Anforderungen an und generieren so Mehrwerte für Ihr Unternehmen und Ihre IT-Sicherheit.

ACP Schwachstellen Scan

„PTaaS – Penetrationstest as a Service“

Mit unserem PTaaS Scan (PenTest as a Service) helfen wir Ihnen bei der Identifizierung und Analyse von Schwachstellen und Sicherheitslücken in der IT-Infrastruktur Ihres Unternehmens. In enger Abstimmung mit Ihrer IT-Administration führen unsere erfahrenen Security-Teams die Konfiguration des Penetrationstests auf Ihrer externen IP-Adressen durch. Anhand der Ergebnisse werden im automatisierten Bericht Gefährdungspunkte dargestellt und können auf Wunsch im Rahmen eines Workshops besprochen und entsprechende Workarounds mit Ihnen erarbeitet werden.

Managed Application Delivery von ACP

Anwendungssicherheit ist keine einmalige Aufgabe, sie kommt mit jedem neuen Mitarbeitenden, jeder neu installierten App erneut auf den Tisch. Wir nehmen Ihnen diesen wiederkehrenden Task mit unserem Angebot Managed Application Delivery ab: Stellen Sie Ihrem Team Anwendungen über virtuelle Desktops bereit, die ohne Verzögerung und Unterbrechung sofort funktionieren – und dank einer zentralen Management- und Monitoring-Konsole permanent und übersichtlich überwacht werden können.