Application/Code Security 2017-11-27T11:00:09+00:00

Wenn Security bei der Anwendungsentwicklung endlich nicht mehr als Nice-To-Have oder gar lästige Pflicht betrachtet wird, sind wir einen Schritt weiter!

Katharine Brylski, Consultant IT-Security, iT-CUBE SYSTEMS AG

Inhalt:

 

Für alles gibt es eine App

Webanwendungen sind allgegenwärtig, sei es auf der Arbeit, privat am PC oder auf dem Mobile Device. Immer mehr Menschen verwenden sie, um Informationen mit anderen Nutzern auszutauschen, von der Couch aus gemütlich in Webshops einzukaufen oder einfach und schnell eine Überweisung zu tätigen. Sie erleichtern das Leben und sind von überall erreichbar. Für den Betreiber bergen Webanwendungen allerdings ein großes Gefahrenpotenzial.

Oh, mein Nutzername und Passwort sind im Internet einsehbar.

Im Laufe der Jahre haben Unternehmen den Schutz ihrer Infrastruktur vor Angreifern aus dem Internet kontinuierlich verbessert. Dennoch gelingt es den Kriminellen immer wieder sensible Daten wie Passwörter, Kreditkartennummern und Adressen über „unsichere“ Webanwendungen abzugreifen.

Die ungewollte Preisgabe von kritischen Mitarbeiterdaten, Produktgeheimnissen oder Vertragsdaten können einen enormen Schaden für die Unternehmen verursachen. Besonders kritisch ist es, wenn das Internet ein großer Umsatzträger ist und massiven Einfluss auf den Geschäftserfolg hat. Ganz zu schweigen davon, dass Kunden das Vertrauen verlieren und sich anderweitig umschauen könnten, wenn sie das Gefühl haben, ihre Daten würden nicht ausreichend vor Angriffen geschützt. Eine erfolgreiche Attacke verursacht einen enormen Imageschaden.

Kampf gegen Angreifer

Um sich präventiv vor Angriffen oder Bedrohungen zu schützen und deren folgenschwere Auswirkungen zu verhindern, sollten Sie wissen:

  • wo potenzielle Einfallstore für Angreifer lauern,
  • wie Sie die Schwachstellen in Web-Anwendungen identifizieren und eliminieren können (Vulnerability Management),
  • welchen Schutz Web Application Firewalls (WAFs) bieten,
  • wie Sie dafür sorgen, dass die wichtigsten Sicherheitsaspekte bereits bei der Entwicklung der Anwendung berücksichtigt werden (Software Code Analysis),
  • wie Richtlinien für Sicherheitsstandards erfüllt werden (PCI DSS).

 

Web Application Security Health Check – Alles, was Sie dazu wissen sollten.

Application Security Testing

Software frisst die Welt und ist #1 Angriffsvektor

Jede Organisation wird teilweise zu einer Software-Organisation, da das Kerngeschäft mittels IT Infrastruktur und Software unterstützt wird. Ob extern, als ein Service oder selber entwickelt – der Software Benutzer möchte nicht nur eine innovative und zuverlässige, sondern auch sichere Software. Die Software, die keine Malware enthält, fehlerlose Business-Logik hat und zertifiziert ist, dass in dem Entwicklungsprozess auf Bugs und Design Flaws geachtet wurde.

In der agilen DevOps Zeit mit schnellen Innovationszyklen muss die Sicherheit in dem SDLC (Software Development Lifecycle) integrierbar, anpassbar und automatisierbar sein. Das sind die Kernanforderungen an das statische und dynamische Application Security Testing, welches ein wichtiger Schritt darstellt, um Angriffsvektoren in den Anwendungen frühzeitig zu erkennen.

Mit Application Security Testing bieten wir Ihnen:

  • vollständigen Dienstleistungsumfang: von Konzeption, Consulting, Implementierung und Post-Sales Support bis zu Managed Service
  • dynamische und statische Software Analyse und Korrelation der Ergebnisse
  • SCA – Software Composition Analyse – welche Komponenten gegen Richtlinien verstoßen könnten
  • Web Application Discovery um neue Webanwendungen zu identifizieren und deren Konformität regelmäßig zu testen
  • Security Awareness mit Online E-Learnings oder Trainings on-Premise

Unsere Technologiepartner:

Whitepaper: Web Application

Vulnerability Management

Software-Schwachstellen sind das Einfallstor für externe Angriffe – Zeit zu handeln!

Die IT-Landschaft verändert sich rasch. Unternehmen setzen vermehrt Cloud-Lösungen, Smartphones, DevOps, IoT-Geräte, … ein. Das Verwalten dieser neuen agilen Produkte zusammen mit der klassischen IT-Infrastruktur ist eine Herausforderung für jedes Sicherheitsteam, die kaum mit der Identifizierung von Schwachstellen und Bedrohungen Schritt halten können, geschweige denn sie anzusprechen. Vulnerability Management Tools helfen Unternehmen Assets ausfindig zu machen und automatisiert Schwachstellen aufzudecken. Denn nur durch die Identifizierung und Beseitigung von Schwachstellen können Unternehmen verhindern Angreifer in ihr Netzwerk einzudringen und wichtige Informationen zu stehlen.

Mit Vulnerability Management bieten wir Ihnen:

  • langjährige Erfahrung im Betrieb von Schwachstellen-Scannern und Penetration Tests.
  • kontinuierliche Übersicht aller Schwachstellen in Ihrer IT-Landschaft und die damit verbundenen Risiken
  • Beschreibung von Schwachstellen und Lösungsbeschreibungen zu deren Beseitigung
  • Planung, Installation und Betrieb einer Vulnerability Management Lösung.
  • Vulnerability Management als Managed Security Service
  • umfassende Risikobewertungen der IT-Umgebung auf Grundlage von CVSS
  • auf Wunsch können tiefergreifende Schwachstellen-Überprüfungen von Anwendungen und Infrastrukturen durch Penetrationstests abgerundet werden

Unsere Technologiepartner:

 

SAP® Security

agileSI™ – SAP® Security Monitoring powered by SIEM. SAP® rückt ins zentrale Security-Monitoring

SAP®-Systeme stellen in den meisten Organisationen die kritischste und schützenswerteste Applikation dar. Dennoch ist die SAP®-Landschaft oft nicht Teil des zentralen Sicherheits-Monitorings (SIEM) oder Security Log-Managements.

Unsere Leistungen:

agileSI™ ist die Lösung für automatisiertes, kontinuierliches und ganzheitliches Monitoring von SAP-Systemen, deren Systemeinstellungen, Berechtigungen, Parameter, sowie für die Überwachung kritischer Ereignisse und Events – zur Laufzeit und in annähernd Echtzeit, in Korrelation mit der „klassischen“ IT.
Die tiefe Integration in SIEM-Lösungen oder Security Log-Management-Systeme erlaubt die systemlandschaftsübergreifende Überwachung, das Archivieren sicherheitsrelevanter Quellen eines SAP®-Systems über einen längeren Zeitraum hinweg, die performante Auswertungsmöglichkeit über den kompletten Datenbestand hinweg sowie die automatisierte Überwachung der Systeme.
Die Alarmierung erfolgt mittels Visualisierung der Incidents in zentralen Dashboards oder Apps, per Email oder durch Anbindung von Ticketing-Systemen.

SIEM-Lösungen erlauben zudem auch den automatisierten Incident-Response im erhärteten Verdachtsfall, also ein Rückgriff auf die SAP®-Systeme, um ggf. das Logging der Systeme zu verändern, oder um über die Möglichkeiten aus der klassischen IT den Zugriff zu den Systemen zu unterbinden.

Unsere Technolgiepartner:

 

Weitere lesenswerte Artikel rund um Application & Code Security:

Sich der Herausforderung stellen

Web Apps und Software im Allgemeinen sind Notwendigkeiten der heutigen Business-Welt. Wer rechtzeitig ein Auge auf die Security wirft hat schon den Anfang gemacht. Wer sie im Auge behält und sich konsequent um die Beseitigung von Schwachstellen kümmert, hat kaum etwas zu befürchten, denn der Aufwand wird für Angreifer schnell unrentabel – besonders, wenn es viel einfachere Ziele gibt.

Wenn Sie sicher gehen wollen, dass Sie nicht zu den „low hanging fruits“ gehören, die Hacker im vorbei gehen pflücken, sollten Sie die Gelegenheit nutzen und unsere Experten in Anspruch nehmen:


Felix Möckel
Datenschutzbeauftragter

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

iT-CUBE
X