Illustration: Absmeier vecstock
Die Ergebnisse des »Software Vulnerability Snapshot«-Berichts unterstreichen, dass beim Thema sichere Softwareentwicklung in vielen Unternehmen weiterhin Handlungsbedarf besteht: 95 % aller Anwendungen weisen zum Teil schwerwiegende Sicherheitslücken auf [1]. Die gesammelten Daten des Reports basieren auf rund 4.000 Sicherheitstests wie Penetrationstests, Dynamic Application Security Testing (DAST) und Mobile Application Security Testing (MAST). Bei diesen Tests wurden die laufenden Anwendungen so untersucht und attackiert, wie dies ein realer Angreifer tun würde, um Sicherheitslücken zu finden, die offensichtlich bisher übersehen oder ignoriert wurden. Vor allem Webanwendungen geraten mehr und mehr in den Fokus, und das Ausnutzen der darin befindlichen Sicherheitslücken gehört mittlerweile zu den dritthäufigsten Angriffsszenarien [2].
Umfragen zeigen: Statische Testmethoden (SAST) decken nur einen Teil möglicher Tests ab
Bei einer aktuellen Umfrage gaben über 70 % der befragten Unternehmen an, mehr als 11 verschiedene Application Security Testing-Tools im Einsatz zu haben [3]. Gleichzeitig räumen drei Viertel der Befragten ein, auch Software-Code mit bekannten Schwachstellen in die Pipeline zu überführen. Dafür ist eine Reihe von Gründen verantwortlich: Der stetig steigende Termindruck, Ressourcenengpässe, was die Nachbearbeitung anbelangt oder ein mangelndes Verständnis über die Schwere der existierenden Schwachstellen. Dazu kommt die wachsende Komplexität von Anwendungen.
Die gute Nachricht: Dynamic Application Security Testing (DAST) bietet eine Möglichkeit, das Security-Testing ganzheitlich zu verbessern, ohne in den Entwicklungsprozess einzugreifen, ohne ihn also zu ändern oder zu verlangsamen. Die Schwachstellen, die während der Programmierung und der operativen Integration der Software mit SCA und SAST nicht entdeckt werden, können durch den Einsatz von DAST spätestens in der laufenden Anwendung erkannt werden. Dieser zusätzliche Sicherheitstest findet in der produktiven Umgebung statt. Aus diesem Grund sind DAST-Tools ein wichtiger und komplementärer Bestandteil eines jeden Softwareprogramms zum Testen der Anwendungssicherheit.
Dynamic Application Security Testing ergänzt die Sicherheitsinfrastruktur
Beim Dynamic Application Security Testing lassen sich Anwendungen im laufenden Betrieb auf Sicherheitslücken hin untersuchen. Diese Methode verwendet einen Black-Box-Ansatz, der davon ausgeht, dass die Tester den Quellcode nicht kennen oder keinen Zugriff darauf haben. Die Anwendung wird von außen über alle verfügbaren Ein- und Ausgänge getestet, ähnlich dem, wie beispielsweise ein Pentester oder ein Angreifer vorgehen würde.
Bei den Tests nutzt DAST die aktuellen Strategien, die auch Angreifer verwenden. DAST-Tools generieren detaillierte Reports für den Entwickler zu bestehenden Sicherheitslücken und wie man sie wieder behebt. Die Methode des Software Vulnerability Snapshot hat gezeigt, welche zusätzlichen Risiken bestehen und im Entwicklungsprozess nicht erkannt werden konnten. Schlussendlich findet DAST immer wieder Schwachstellen, die andere Testmethoden »übersehen« haben.
Die detaillierten Hinweise und Empfehlungen des Dynamic Applikation Security Testing unterstützen Sicherheits- und Entwicklungsteams schnell und gezielt zu reagieren, ihre Parameter für statische Anwendungssicherheitstests (SAST) und Software Composition Analysis (SCA) besser zu konfigurieren und zu optimieren. Entwickler lernen mit dem Einsatz von DAST sowohl bewährte Praktiken für sicheres Programmieren als auch weitere Grundlagen zur Verbesserung der Sicherheitsinfrastruktur.
Der zusätzliche Einsatz von DAST ergänzt den Einsatz von unterschiedlichen Software-Sicherheitstools. DAST-Tools liefern Ergebnisse aus dem produktiven Betrieb und erlauben es, in vielen Fällen den Aufwand von Penetrationstests einzugrenzen.
Eine Investition und Integration von DAST verspricht also zweierlei. Sie schützt bereits bestehende Webanwendungen, und sie verbessert die Sicherheit durch zusätzliche Tests im Produktionsbetrieb auf der »letzten Meile« der Entwicklung. Herkömmliche Penetrationstests sollten weiter bestehen, denn DAST-Tools ergänzen den Prozess, so dass er kontinuierlich und weitgehend automatisiert abläuft. Notwendig gewordene Änderungen werden dem betreffenden Entwickler per Workflow mitgeteilt.
DAST braucht dazu wie gesagt keinen Zugriff auf den Source Code, sondern testet das Verhalten der Anwendung, wie es ein Benutzer tun würde. Da DAST-Tools laufende Anwendungen inspizieren, sind sie außerdem nicht abhängig von Programmiersprachen. ROI rückt dank dieser Möglichkeiten deutlich in den Vordergrund – was die Kundenzufriedenheit steigert.
DAST schärft den Fokus
Der zusätzliche Einsatz von DAST hilft der Entwicklung einen besseren Gesamteindruck über die Applikation zu bekommen. Pentester können sich dann auf kritische Applikationen und logische Verwundbarkeiten konzentrieren sowie der Testumfang angepasst werden. Diese Synergien helfen, Kosten und Zeit zu sparen und der Sicherheits-Level wird durch die abschließenden DAST-Tests auf einem hohen Stand gehalten. DAST lässt sich zudem schnell und unproblematisch mit produktiven Webapplikationen integrieren.
Unternehmen, die DAST nicht in ein ganzheitliches Testkonzept eingebunden haben, gehen ein nicht geringes Risiko ein, Anwendungen zu veröffentlichen, die zu den oben genannten 95 % gehören. Und wir sprechen hier von vermeidbaren Sicherheitslücken.
DAST ist skalierbar und als SaaS-DAST schnell einsatzbereit
DAST liefert ein hohes Maß an Genauigkeit. Die Methode nutzt eine Schwachstellenüberprüfung auf Basis von künstlicher Intelligenz. Die Ergebnisse werden von zusätzlichen Experten verifiziert, um False-Positive-Ergebnisse so weitgehend wie irgend möglich auszuschließen. SaaS-basiertes DAST vergleicht die Resultate in Echtzeit mit historischen Aufzeichnungen. Ziel ist es, über die Zeit das Risiko zu messen, dem die Anwendungen ausgesetzt sind. SaaS-DAST skaliert in jeder Umgebung. Das hat den Vorteil, dass es vielfältig eingesetzt werden kann und den Entwicklungstakt von Start-ups bis hin zu Fortune 500-Unternehmen abdeckt.
Aber DAST hat noch andere Vorteile. Es gewährleistet PCI-DSS-Compliance im Bereich der Anwendungssicherheit. Darüber hinaus profitieren Firmen zusätzlich in zweierlei Hinsicht von einer effektiven Schwachstellenüberprüfung: die zeitliche Dauer der Risikoexposition lässt sich minimieren und der Ruf der Marke wird so nachhaltig geschützt.
Florian Thurmann, Sales Engineering Director EMEA, Synopsys