Mit Threat Stack Application Security Monitoring richtig vorgehen
Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.
In unserem letzten Beitrag haben wir untersucht, wie das Application Security Monitoring von Threat Stack Sicherheit in Entwicklungsprozesse einbettet – ohne die Agilität oder Geschwindigkeit der Application und -bereitstellung negativ zu beeinflussen. Für Unternehmen, die sich alle Mühe geben und Sicherheit in den gesamten Lebenszyklus ihrer Softwareentwicklung und -bereitstellung integrieren möchten, ist es von zentraler Bedeutung, Entwicklern die Möglichkeit zu geben, Softwarerisiken proaktiv anzugehen. Doch selbst bei größtem Sicherheitsbewusstsein, besten Tests und frühzeitiger Problemerkennung und -minderung kann es immer passieren, dass sich ein gewisses Risiko einschleicht und in eine laufende Application gelangt.
Ein aktueller Bericht ergab, dass 100 Prozent der getesteten Applications mindestens eine Application aufwiesen. Dabei handelt es sich möglicherweise nicht um die schwerwiegendsten Schwachstellen und Angreifer können sie möglicherweise nie erfolgreich ausnutzen, aber sie lauern immer. Mit diesem Wissen ausgestattet untersuchen Angreifer ständig Web- Applications auf der Suche nach Schwachstellen, die ihnen den nötigen Zugriff für einen Angriff verschaffen. Zusätzlich zur Risikoidentifizierung und -behebung während der Entwicklung, die Threat Stack AppSec Monitoring bietet, kann es diese Echtzeitangriffe auch zur Laufzeit erkennen und blockieren.
Threat Stack AppSec Monitoring bietet Laufzeitschutz mit vier Elementen: Erkennen, Blockieren, Benachrichtigen und Leiten. In Kombination ermöglichen diese vier Elemente den Benutzern, Angriffe zu erkennen und ihre Durchführung zu verhindern (wodurch Datenlecks und andere Probleme vermieden werden) und den DevSecOps-Workflow mit dem Kontext zu versorgen, den Entwickler benötigen, um Sicherheit zu integrieren, die dazu beitragen kann, zukünftige Angriffe zu verhindern.
Erkennen
Mehr als 60 Prozent der schwerwiegendsten Webangriffe basieren auf einfachen XSS- und SQL-Injection-Angriffen . Obwohl diese relativ einfach und gut verständlich sind, gehören sie nach wie vor zu den Favoriten der Angreifer. Threat Stack AppSec Monitoring kann diese Angriffe erkennen, indem es die Nutzlast untersucht, die aus dem Internet in die Application gelangt. Bei der Nutzlast handelt es sich einfach um den Datenteil einer Application . Dies können beispielsweise die Feldnamen und -werte beim Senden eines Formulars auf einer Webseite oder Name/Wert-Paare in einem API-Aufruf sein. Wir analysieren die Nutzlast innerhalb der laufenden Application , um zu prüfen, ob sie Code enthält, den wir als potenziell bösartig identifizieren können. Diese Prüfung basiert auf unserem eigenen Analysator, der die Nutzlast mit bekannten Angriffssignaturen vergleicht – derzeit sind es mehr als 2.000! Stellen Sie es sich wie eine Sicherheitskontrolle in einem Flughafen vor, wo Wachen den Inhalt des Gepäcks von Reisenden auf potenziell gefährliche Gegenstände wie Waffen oder Sprengstoff untersuchen. Wir durchsuchen die Nutzlast nach potenziell gefährlichen Elementen wie SQL- oder NoSQL-Injection-Strings oder XSS-Code. Im Gegensatz zur Flughafensicherheit ist unsere Kontrolle jedoch extrem schnell!
Block
Benutzer können Threat Stack AppSec Monitoring in einem von zwei Modi ausführen: Nur erkennen oder Selbstschutz. Der Selbstschutzmodus ist die beste Option zur Echtzeitverteidigung. In diesem Modus wird jede Anfrage mit einer böswillige Nutzdaten sofort gestoppt – genauso, wie der Sicherheitsbeamte am Flughafen eine Waffe findet und ihm den Zutritt zum Flughafen verweigert. Die Application stoppt die weitere Ausführung dieser einzelnen Anfrage und der Angriff wird beendet. Im Nur-Erkennen-Modus werden alle erkannten schädlichen Nutzdaten gekennzeichnet und den Benutzern mitgeteilt (siehe nächstes Element, Benachrichtigen ), die Ausführung der Anforderung wird jedoch zugelassen. Dies kann hilfreich sein, wenn Sie während der Entwicklung automatisierte Tests ausführen, wenn es hilfreich ist zu wissen, dass ein simulierter Angriff erfolgreich erkannt wurde, Sie den Test aber trotzdem fortsetzen möchten.
Benachrichtigen
Sobald ein Angriff erkannt und blockiert wurde, müssen Sie darüber informiert werden, damit Sie Schritte unternehmen können, um entweder den Schaden zu begrenzen oder das Risiko künftiger Angriffe zu verringern. Threat Stack AppSec Monitoring liefert Informationen zu Angriffen im Webportal in einem übersichtlichen Zeitleistenformat. Da uns jedoch bewusst ist, dass sich nicht jedes Mitglied jedes Teams beim Threat Stack-Portal anmeldet, stellen wir Ihnen die wesentlichen Informationen zum Angriff mithilfe der ChatOps-Integration zur Verfügung. So können Slack, Google oder andere Chat-Tools dem Team Informationen übermitteln. Angriffsbenachrichtigungen enthalten den tatsächlichen Inhalt der böswillige Nutzdaten , die IP-Adresse des Angreifers, die URL und die Anforderungsmethode, auf die das Ziel gerichtet war, sowie andere wichtige Informationen.
Bildschirm: Angriffsansicht im Portal
Führung
Alle Erfahrungen bieten Lernmöglichkeiten. Ein Angriff auf eine Application bietet Ihrem Entwicklungsteam die Gelegenheit, seine Sicherheitskenntnisse zu verbessern, was ihm dabei helfen kann, seinen Code in Zukunft zu verbessern. Threat Stack AppSec Monitoring teilt Lerninhalte und forensische Angriffsinformationen, um den Aufbau dieses verbesserten Sicherheits-IQ für Entwickler zu unterstützen. Jeder Angriff umfasst E-Learning-Inhalte, die den Entwicklern den Angriff in ihrer eigenen Sprache erklären, mit Codebeispielen und Links zu weiteren externen Lerninhalten. Außerdem wird ein vollständiger Stapelüberwachungsverlauf angezeigt, damit der Entwickler erkennen kann, welcher Routenhandler aufgerufen wurde und welcher Aufrufstapel ausgeführt wurde, bevor der Angriff blockiert wurde. Dies könnte zu einer verbesserten Eingabebereinigung oder anderen Application führen.
Bildschirm: SQLi-Leitfaden
Alles zusammenbringen
In den heutigen schnelllebigen, Cloud-nativen DevOps-Umgebungen ist es nicht möglich, Ihre Applications ausschließlich durch „Shifting Left“ zu sichern, wobei von den Entwicklern erwartet wird, dass sie Sicherheitsprobleme selbst finden und beheben, oder indem Sie Sicherheit in letzter Minute oder nur mit Runtime Application -Firewalls hinzufügen. Sicherheit muss in den gesamten Prozess der Softwareentwicklung, -bereitstellung und des -betriebs integriert werden, und zwar auf eine Art und Weise, die Kooperation und Zusammenarbeit zwischen Entwicklern, Betriebs- und Sicherheitsexperten ermöglicht. Threat Stack Application Security Monitoring identifiziert Risiken zum Zeitpunkt der Entwicklung und schützt vor Live-Angriffen in der Produktion. Zudem platziert es diese Warnmeldungen auf Anwendungsebene in den breiteren Kontext der Cloud-nativen Infrastruktursicherheitsüberwachung von Threat Stack.
Um mehr über das Application Security Monitoring von Threat Stack zu erfahren, das als Teil der Threat Stack Cloud Security Platform® ohne zusätzliche Kosten verfügbar ist, melden Sie sich für eine Demo an. Unsere Sicherheitsexperten besprechen gerne Ihre spezifischen Sicherheits- und Compliance-Anforderungen.
Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.