Drei Dinge, die App-Sicherheit nicht ist
Unter App-Sicherheit versteht man vieles, doch manchmal müssen wir innehalten und darüber nachdenken, was sie nicht ist. Dies gilt insbesondere, da die Menge und Häufigkeit der Anwendungen, die entwickelt und eingesetzt werden, um die unersättliche Nachfrage zu befriedigen, weiterhin zunimmt.
1. Keine hohe Priorität – sollte es aber sein
Unglaubliche 44 % der Teilnehmer einer von Arxan und IBM gesponserten Umfrage zur Sicherheit von IoT und mobilen Anwendungen gaben zu, dass sie nichts unternehmen, um einen Angriff zu verhindern. Damit Sie diese Antworten nicht einfach auf einen kleinen Teil Ihres Anwendungsportfolios abtun, werfen wir einen Blick auf den wichtigen Jahresbericht von WhiteHat Security zu Web-Sicherheitsstatistiken. Darin heißt es: „Etwa ein Drittel der Versicherungsanwendungen, etwa 40 % der Anwendungen im Bank- und Finanzdienstleistungsbereich, etwa die Hälfte der Anwendungen im Gesundheits- und Einzelhandelsbereich und mehr als die Hälfte der Anwendungen in den Bereichen Fertigung, Lebensmittel und Getränke sowie IT sind immer anfällig.“
„Immer anfällig“ wird im WhiteHat Security-Jargon als „an jedem einzelnen Tag des Jahres anfällig“ definiert.
Darüber hinaus wurde im selben Bericht festgestellt, dass „die durchschnittliche Zeit bis zur Behebung des Problems je nach Branche zwischen etwa 100 und 245 Tagen variiert“. Im Einzelhandel und im Gesundheitswesen beträgt sie etwa 200 Tage. Technologie und IT hinken noch weiter hinterher: Die durchschnittliche Zeit für die Behebung einer Schwachstelle beträgt 250 Tage.
Es ist dieser Laissez-faire-Ansatz in Sachen Sicherheit, der den zweiten Ansatz so schwer verdaulich macht. Wenn die App-Sicherheit keine hohe Priorität hat, ist mit Sicherheit ein erheblicher Prozentsatz der Anwendungen (oder APIs, die Anwendungen Daten bereitstellen) anfällig.
2. Nicht nur über die App
Es besteht die falsche Vorstellung, dass es bei der App-Sicherheit nur um die Anwendung geht. Wenn eine App eine eigenständige Einheit wäre, wäre dies vielleicht der Fall. Apps werden jedoch auf Plattformen bereitgestellt, basieren auf Skripten und APIs von Drittanbietern und sind in Systeme integriert, die für die Datenverwaltung verantwortlich sind. Das bedeutet , App-Sicherheit ist ein Stapel Das erfordert sorgfältige Aufmerksamkeit allen Komponenten, nicht nur der App selbst. Die OWASP Top Ten sind ein guter Ausgangspunkt für Apps, wir sollten jedoch nicht außer Acht lassen, dass Schwachstellen auf Protokollebene (TCP, HTTP und TLS) in Plattformen im letzten Jahrzehnt für erhebliches Ärgernis gesorgt haben.
Und wir dürfen die Beziehung zwischen volumetrischen Netzwerkangriffen und heimtückischeren Angriffen auf System- und App-Ebene nicht außer Acht lassen. Dark Reading hat diesen Zusammenhang in einem aktuellen Artikel festgestellt:
Fast die Hälfte der betroffenen Organisationen gab an, dass ihre DDoS-Angriffe zeitgleich mit einer Art Sicherheitsverletzung oder böswilliger Aktivität in ihren Netzwerken auftraten, darunter Datendiebstahl und Ransomware. So berichten beispielsweise 47 %, dass sie nach einem DDoS-Angriff Virenaktivität in ihrem Netzwerk entdeckt haben, 43 % geben an, dass Schadsoftware aktiviert wurde und 32 % vom Diebstahl von Kundendaten.
Bei der App-Sicherheit muss der gesamten App-Architektur Aufmerksamkeit gewidmet werden, einschließlich Netzwerk, Daten und Diensten, die die App skalieren und sichern.
3. Nicht das Problem von jemand anderem
Laut unserer Umfrage „State of Application Delivery“ von 2017 plant jedes fünfte Unternehmen, über 50 % seiner Anwendungen in der Cloud zu hosten. Dadurch wird die Sicherung der Apps zu einer größeren Herausforderung. Durch die Auslagerung einer App in die „Cloud“ kann die Verantwortung für einen Teil der Sicherheitslast neu verteilt werden, insbesondere für die Komponenten auf Netzwerk- und Systemebene. Die Verantwortung für die App, ihre Plattformen und die externen Skripte und Ressourcen, auf die die App angewiesen ist, liegt jedoch weiterhin bei Ihnen. Es kann eine Herausforderung sein, in der Cloud dasselbe Sicherheitsniveau wie vor Ort zu gewährleisten. Dies gilt insbesondere beim Mischen und Anpassen nativer Clouddienste, die auf Richtlinienebene nicht mit den lokalen Diensten kompatibel sind.
Doch dieser Herausforderung muss man sich stellen. Dies kann man entweder dadurch erreichen, dass man die Konsistenz der Dienste sicherstellt, die diese Richtlinien sowohl vor Ort als auch in der Cloud durchsetzen. Oder indem man die Aufgaben der App-Sicherheit auf ein servicebasiertes Angebot verlagert , das Konsistenz für beides gleichzeitig bieten kann. Oder indem man entsprechende Richtlinien für Cloud-native Dienste sorgfältig von Hand ausarbeitet.
Egal welchen Weg Sie wählen, die Verantwortung liegt weiterhin bei Ihnen.
Angesichts der Auswirkungen von Verstößen auf den Ruf einer Marke, das Vertrauen der Verbraucher und das Potenzial für künftige Ausnutzungen (im Falle gestohlener Anmeldeinformationen) ist die App-Sicherheit wichtiger denn je. Es bis zur letzten Minute aufzuschieben oder davon auszugehen, dass sich jemand anderes darum kümmert, ist ein Rezept für eine Katastrophe. Wenn Sie die Bedeutung dieser Risiken erkennen, dem Testen und Beheben dieser Probleme eine höhere Priorität einräumen und gleichzeitig die Architekturoptionen der Cloud und der Cloud-unterstützenden Dienste nutzen, können Sie Ihr Risiko deutlich senken.
App-Sicherheit ist nicht optional.