90 Prozent aller Java-Dienste haben mindestens eine schwere bis kritische Schwachstelle, so der aktuelle State of DevSecOps-Report [1]. Entwickler- und Security-Teams stehen vor der Herausforderung, die Sicherheitslücken aufzuspüren, zu priorisieren und zu schließen. Wie gelingt das am besten?

Java-Anwendungen sind besonders anfällig für Schwachstellen, weil sie häufig aus vielen verschiedenen Open-Source-Komponenten bestehen. Das größte Risiko liegt in den Drittanbieter-Bibliotheken. Noch heute kämpfen Security-Teams zum Beispiel mit der Log4Shell-Schwachstelle, weil sie nicht wissen, wo sich die Log4j-Bibliothek überall versteckt und welche Abhängigkeiten bestehen. Log4Shell wurde 2021 entdeckt und zählt zu den gefährlichsten Schwachstellen, die es bisher gab – fast 80 Prozent aller Unternehmen waren zum damaligen Zeitpunkt betroffen. Trotz erheblicher Security-Bemühungen nutzen noch immer mehr als ein Drittel der Java-Applikationen verwundbare Versionen von Log4j, so ein Bericht des Sicherheitsanbieters Veracode [2]. Zudem sind laut dem aktuellen State of DevSecOps-Report 90 Prozent der Java-Dienste von mindestens einer schweren bis kritischen Schwachstelle betroffen [3]. 55 Prozent sind anfällig für bekannte Exploits, die von Cyberkriminellen häufig eingesetzt werden. Es besteht also dringender Handlungsbedarf. Was können Unternehmen tun, um ihre Java-Umgebungen besser abzusichern?

Monitoren Sie Ihr produktives Java-Ökosystem. Die meisten Unternehmen fokussieren ihre Java-Security-Maßnahmen bisher auf die Entwicklungs- und Build-Phasen. Sie nutzen zum Beispiel Tools wie Snyk und Synopsys, um statische Analysen durchzuführen und Schwachstellen im Code frühzeitig zu identifizieren. Das ist wichtig, reicht aber nicht aus. Denn Java-Anwendungen wie Kafka, Cassandra oder Spark werden häufig ohne vorherige Build-Schritte ausgeführt. Sicherheitslücken, die sich durch externe Bibliotheken und Komponenten einschleichen, werden daher mit DevSecOps-Prozessen nicht immer erfasst. Um umfassende Sicherheit zu gewährleisten, müssen Unternehmen ihre Security-Maßnahmen auf die Produktionsumgebung ausweiten. Im ersten Schritt geht es darum zu inventarisieren, welche Java-Komponenten die Umgebung enthält. Anschließend müssen diese auf Schwachstellen gescannt und überwacht werden. Da sich Java-Umgebungen dynamisch ändern, muss sowohl die Inventarisierung als auch das Monitoring kontinuierlich und automatisiert erfolgen.

Integrieren Sie Security direkt in die Java Virtual Machine (JVM). Herkömmliche Vulnerability-Scanner arbeiten meist datei- und signaturbasiert. Dadurch laufen sie Gefahr, Java-Komponenten zu übersehen: Die gängigsten Java-Frameworks verwenden heute die Techniken des Shading und Flattening, um die Bereitstellung zu vereinfachen, was jedoch häufig zu Problemen mit statischen Scannern führt. Denn anstelle mehrerer Dateien, deren Namen (oder Manifest) Scanner lesen können, erstellen Shading und Flattening ein einziges Bereitstellungspaket. Um sie trotzdem zu erkennen, brauchen Unternehmen einen Schwachstellenscanner, der direkt in die JVM integriert ist. Er sollte in der Lage sein, die Codebasis der Umgebung zu analysieren und mit einer Java-spezifischen Schwachstellendatenbank abzugleichen. So gewinnen Unternehmen tiefe Einblicke in all ihre Java-Komponenten und erkennen sofort, wenn eine zuvor gepatchte Bibliothek durch eine verwundbare Version ersetzt wurde.

Minimieren Sie False Positives. Viele Security-Teams leiden unter Alert-Fatigue: Weil sie täglich mit irrelevanten Warnmeldungen überflutet werden, übersehen sie kritische Alarme. Laut einer Studie von Orca Security nutzt die Mehrheit der Unternehmen mindestens fünf verschiedene Public-Cloud-Security-Tools, die alle mehr oder weniger dieselben Sicherheitsprobleme melden [4]. Dadurch explodiert die Zahl der False Positives. Dazu kommt, dass sich viele der aufgedeckten Schwachstellen in Java-Komponenten befinden, die gar nicht produktiv sind. Indem Unternehmen einen Vulnerability Scanner einsetzen, der zwischen laufenden und ruhenden Java-Komponenten unterscheidet, können sie die Zahl der False Positives drastisch reduzieren und Schwachstellen besser priorisieren.

Führen Sie rückblickende Analysen durch. Wenn neue Schwachstellen veröffentlicht werden, müssen Unternehmen in der Lage sein zu prüfen, ob sie betroffen sind. Dabei ist auch ein Blick in die Vergangenheit wichtig. Wann und auf welchen Systemen wurde die verwundbare Java-Komponente ausgeführt? Um das zu ermitteln, brauchen Unternehmen einen Schwachstellen-Scanner, der historische Daten speichert und rückblickende Analysen ermöglicht. Auf diese Weise können Security-Teams den Umfang und die Auswirkungen von Sicherheitslücken genau bestimmen und gezielter auf potenzielle Cybervorfälle reagieren.

Betrachten Sie Java-Optimierung als Betriebsoptimierung. Unternehmen stehen heute unter Druck, innovativ zu sein, Markteinführungen zu beschleunigen und Anwendungssicherheit zu gewährleisten. Gleichzeitig müssen sie mit weniger Mitteln mehr erreichen. Wer auf eine proaktive Security-Strategie setzt, kann seine Java-Anwendungen schneller auf den Markt bringen sowie effizienter und sicherer betreiben. Das wiederum wirkt sich unmittelbar positiv auf die Betriebs- und Geschäftsergebnisse aus. So erzielten Entwicklungsunternehmen, die zu den Top-Performern laut Developer Velocity Index (DVI) von McKinsey zählen, eine um 60 Prozent höhere Gesamtrendite für ihre Aktionäre und 20 Prozent höhere Betriebsmargen. Sie wuchsen vier- bis fünfmal so schnell und erzielten 55 Prozent höhere Innovationsergebnisse als Low-Performer.

Fazit: Proaktive Java-Security-Strategie lohnt sich. Das Java-Ökosystem ist und bleibt eine der beliebtesten Plattformen für die Entwicklung von Unternehmensanwendungen. Umso wichtiger ist es, sich der Risiken bewusst zu werden und sie zu mindern. Um Schwachstellen frühzeitig zu erkennen und zu schließen, ist eine proaktive Security-Strategie entscheidend. Unternehmen müssen in der Lage sein, ihre Java-Umgebung kontinuierlich auf Laufzeitebene zu überwachen und Warnmeldungen zu priorisieren. Sichere und leistungsstarke Java-Anwendungen tragen nicht nur entscheidend zur Gesamtsicherheit des Unternehmens bei, sondern schaffen auch die Basis für einen erfolgreichen Geschäftsbetrieb.

Scott Sellers, CEO und Co-Founder von Azul, verfügt über mehr als 30 Jahre erfolgreiche Führungserfahrung in der Hightech-Branche. Vor der Gründung von Azul Systems war er Mitbegründer von 3dfx Interactive, einem Pionier im 3D-Grafikbereich für PCs und Spielekonsolen. Unter seiner Leitung brachte das Unternehmen sieben preisgekrönte Produkte auf den Markt und entwickelte 14 verschiedene Grafikprozessoren. Nach einem erfolgreichen Börsengang wurde 3dfx von NVIDIA übernommen. Scott Sellers schloss sein Studium an der Princeton University mit magna cum laude und Phi Beta Kappa-Ehren ab. Er hält acht Patente im Bereich High Performance Graphics und Computing und ist ein regelmäßig geladener Keynote-Speaker auf Branchenkonferenzen.

[1] https://www.datadoghq.com/state-of-devsecops/

[2] https://www.veracode.com/blog/research/state-log4j-vulnerabilities-how-much-did-log4shell-change

[3] https://www.datadoghq.com/state-of-devsecops/

[4] https://orca.security/resources/blog/2022-cloud-cyber-security-alert-fatigue-report/

Illustration: © Paseven | Dreamstime.com

258 Artikel zu „Java Sicherheit“

News | IT-Security | Ausgabe 9-10-2024 | Security Spezial 9-10-2024

Den richtigen MXDR-Anbieter finden – MXDR macht Cybersicherheit zum Teamplay

19. Oktober 2024

Managed Extended Detection and Response entlastet die IT-Abteilung von Unternehmen, hat einen positiven Einfluss auf die IT-Sicherheit und ist eine Investition in die Sicherheit und die Zukunft.