Kontinuierliches DAST in Produktionsumgebungen

von Zwick am 28. August, 2023

Trotz weitreichender Sicherheitsmaßnahmen wird gerade in Produktionsumgebungen in einigen Fällen auf kontinuierliche Schwachstellen-Scans verzichtet. Aber Angreifer nehmen Websites, Anwendungen und andere Software innerhalb der Produktion gezielt ins Visier. Es reicht also oftmals nicht, sich ausschließlich auf statische Tests der Anwendungssicherheit (Static Application Security Testing, SAST), die Software Composition Analysis (SCA) und jährliche Penetrationstests zu verlassen. Es gilt vielmehr Ansätze zu entwickeln, die ein Scanning in der laufenden Umgebung als grundlegende und unverzichtbare Säule der Applikationssicherheit integrieren. Mittels Dynamic Application Security Testing (DAST) können Unternehmen Sicherheitslücken vorausschauend identifizieren und beseitigen, bevor diese ausgenutzt werden.

Auch wenn es nicht möglich ist, alle potenziellen Schwachstellen zu beseitigen, speisen die meisten Unternehmen wissentlich oder unwissentlich anfälligen Code in die Produktion ein. Und das, obwohl sie während des gesamten Lebenszyklus der Softwareentwicklung (Software Development Life Cycle, SDLC) Sicherheitstests durchführen.

Jeder ist angreifbar

In einer aktuellen Umfrage geben fast 70 Prozent der Befragten an, dass sie für mehr als die Hälfte ihrer Codebasis elf oder mehr Tools zum Testen der Anwendungssicherheit (Application Security Testing, AST) nutzen. 69 Prozent bewerten die Effektivität ihrer Sicherheitsprogramme auf einer Skala von 1 bis 10 mit einer 8 oder höher. Allerdings räumen annähernd 80 Prozent derselben Unternehmen ein, dass sie zumindest gelegentlich Code mit bekannten Schwachstellen in die Produktion einspeisen, und fast 50 Prozent tun dies sogar regelmäßig.

Laut Forrester sind Anwendungen der am häufigsten genutzte Einstiegspunkt für einen Angriff. In der besten aller Welten würden Unternehmen vielleicht über ein Team mit Vollzeitexperten verfügen, die sich mit Sicherheitstests beschäftigen und Schwachstellen beheben.

Die Realität sieht bekanntermaßen anders aus. Abgesehen von den fehlenden Budgets sind qualifizierte Fachleute so gefragt wie überlastet. In einem vor Kurzem von 451 Research veröffentlichten Bericht nannten die Befragten einige der Faktoren, die Sicherheitstests im Wege stehen:

Mangelndes Fachwissen der Beschäftigten: 37 Prozent
Komplexität der Lösung: 25 Prozent
Komplexität der Einrichtung: 24 Prozent
Benutzerfreundlichkeit der Lösung: 23 Prozent
Unzureichende Personalausstattung: 20 Prozent

Auf der Suche nach der Lösung

Der ultimative Test für die Sicherheit einer Anwendung ist ihre Fähigkeit, Angriffen in der Produktion standzuhalten und schnellstmöglich zu erkennen. Unternehmen sollten ihre laufenden Webanwendungen also auf die gleiche Weise testen und analysieren, wie das ein Angreifer tun würde.

Im Wesentlichen ermöglicht es das Dynamic Application Security Testing (DAST), viele Szenarien zu simulieren, die ein Angreifer ausnutzen könnte, wie zum Beispiel eine fehlende Eingabevalidierung oder ein Problem mit der Datenverschlüsselung.

Wer kontinuierliches DAST in seiner Produktionsumgebung implementiert, der verkürzt zudem die Zeitspanne zwischen dem Auftreten einer Schwachstelle und ihrer Entdeckung. Mittels kontinuierlichen DAST-Tests verbessert sich der Härtungsprozess in einer Umgebung über die Zeit, weil sich Muster erkennen lassen. Diese deuten unter Umständen auf technische Bereiche hin, in denen sich die Mitarbeiter mittels Training oder Übung verbessern sollten.

Mithilfe von DAST-Scanning ist das alles auch in großem Maßstab möglich und Fehlerursachen lassen sich leichter identifizieren. Diese Skalierbarkeit schaufelt Ressourcen frei, die Unternehmen anderweitig investieren können. Das wiederum wirkt sich positiv auf die Produktivität aus.

Firmen sollten DAST deshalb als ein probates und komplementäres Mittel betrachten, die Produktsicherheit weiter zu verbessern. Zu diesem „always on“-Ansatz zählen:

Automatisches Erkennen und Analysieren von Code-Änderungen in Web-Anwendungen. Code-Änderungen automatisch zu erkennen und zu analysieren, verbessert die Sicherheit von Web-Anwendungen, und inkrementelle Code-Änderungen können zuverlässig durchgeführt werden. Andernfalls setzen sich Unternehmen der Gefahr von sicherheitsrelevanten Fehlern aus, die in der Zeit zwischen den einzelnen Testphasen in die Produktion gelangen.
Warnung vor neu entdeckten Sicherheitslücken (wie etwa Log4J). Anspruchsvolle DAST-Lösungen entwickeln sich auch selbst in Echtzeit weiter. Unternehmen sollten sicherstellen, dass ihre DAST-Lösung bei jedem Scan die aktuellen Exploit-Informationen liefert.
Eine unbegrenzte Anzahl von Websites und Anwendungen gleichzeitig scannen. Die Cloud-basierte Bereitstellung vereinfacht die Implementierung und hilft bei einer schnellen Skalierung. Eine kontinuierliche DAST-Lösung kann also mit minimalem Aufwand skaliert werden, und zwar unabhängig davon, wie viele Anwendungen ein Unternehmen betreibt. Im Idealfall kommt eine DAST-Lösung mit Onboarding-Services, die dafür sorgen, dass alles reibungslos abläuft und die internen Ressourcen möglichst wenig belastet werden.
Asynchrone Tests. Wenn man einen Scan für das gesamte Ökosystem der Web-Anwendungen eines Unternehmens startet, muss man nicht darauf warten, dass diese Tests abgeschlossen sind, bevor man einzelne Funktionen oder Apps überprüfen kann. Sicherheitsteams müssen umfassende Tests nicht länger hintenanstellen, nur weil sie befürchten, dass sich dadurch das gleichzeitige Testen inkrementeller Änderungen verzögert.

Fazit

Beim Einsatz von DAST geht es also nicht darum, bestehende Workflows, Prozesse und Vorgehensweisen für die Anwendungssicherheit zu ersetzen, sondern sie produktionssicher zu ergänzen, zu optimieren und letztlich zu verbessern. Das Ergebnis sind deutlich sicherere Anwendungen, denen die Endnutzer vertrauen können.

Die Applikationssicherheit wird durch abschließende Tests stets auf einem hohen Niveau gehalten. DAST fungiert als komplementäre und gleichzeitig leistungsstarke Erweiterung bestehender Sicherheitstests für jede Entwicklungspipeline.

Autor: Stanislav Sivak, Associated Management Consultant, Synopsys SIG

Links:

Hier finden Sie weiterführende Informationen.

Dynamic Application Security Testing (DAST) prüft laufende Webanwendungen hinsichtlich von Schwachstellen auf der Anwendungsebene. Diese befinden sich nicht zwangsläufig im Quellcode, sondern entstehen zum Teil erst mit der Bereitstellung der Software. Generell kann ein DAST-Test in der Staging-Phase oder auch als konktinuierlicher Scan in der Produktion durchgeführt werden. DAST-Tests greifen zum spätmöglichsten Zeitpunkt innerhalb des Lebenszyklus einer Anwendung. Nämlich dann, wenn der Gesamtumfang der Anwendung bereits definiert und bereitgestellt ist. Zu diesem Zeitpunkt ist DAST in der Lage, potenzielle Software-Risiken einzuschätzen, die bislang noch nicht identifiziert und/oder behoben wurden und im laufenden Betrieb einer Anwendung zur Bedrohung werden können. Bild: Reto Scheiwiller auf Pixabay

Artikel per E-Mail versenden

Synopsys SIG

Kontinuierliches DAST in Produktionsumgebungen

Anzeige

Politik & Wirtschaft

Condition Monitoring

Drucklufttechnik

Arbeitssicherheit

Reinigung

Energie-Effizienz

Fertigungstechnik

Zulieferteile

Wartungs- & Werkstattbedarf

Messen & Überwachen

Antriebs- & Steuerungstechnik

Facility Management

Materialfluss

Themen

Newsletter

ABONNEMENT

Audia Akustik | Podcast zum Thema Lärm und Gehörschutz

Kontakt