Von Schwachstellen im Code bis zum Secrets Sharing über Kommunikations-Tools: Anwendungen sind über den gesamten Software Development Lifecycle Gefahren ausgesetzt. Cycode, der Pionier im Bereich ASPM, nennt vier Kernelemente des „Security by Design“-Ansatzes.
Symbolbild Ideogram
Die Anwendungssicherheit (AppSec) steht in Zeiten einer stetig zunehmenden Bedrohungslage im Cyberspace mehr und mehr im Fokus. Viele Unternehmen, die Anwendungen entwickeln, nutzen daher ein grosses Portfolio an AppSec-Tools. Um „Security by Design“ aber wirklich erfolgreich umzusetzen, ist eine ganzheitliche ASPM (Application Security Posture Management)-Lösung Voraussetzung, die Visibilität über die Sicherheitslandschaft herstellt und als zentrale Anlauf- sowie Informationsstelle für IT-Security-Teams fungiert. Die folgenden vier Bereiche sind die Kernelemente bei der Absicherung des gesamten Software Development Lifecycle (SDLC). Cycode hat sie untersucht und erklärt, wie ASPM-Plattformen bei der Erfüllung der Aufgaben helfen.
1. Schwachstellen vor einer Eskalation erkennen
Viel zu viele Sicherheitslücken in Anwendungen werden erst nach ihrem Deployment erkannt und dann via Patch, Bugfix-Update oder manchmal auch erst in der nächsten Iteration der Software gefixt. Um einen „Security by Design“-Ansatz erfolgreich zu verfolgen, müssen Unternehmen einen sogenannten „Shift Left“ vollziehen: Gemeint ist, dass sie bereits in den ersten Phasen des SDLC Schwachstellen gezielt suchen, identifizieren und fixen. ASPM-Lösungen bieten dafür native SAST (Static Application Security Testing)- und SCA (Software Composition Analysis)-Tools.
Während SAST-Tools insbesondere den von Entwicklern des Unternehmens geschriebenen Code nach Schwachstellen durchforsten, sind SCA-Werkzeuge in der Lage, den Ursprung von Open-Source-Komponenten im Code herauszufinden und dessen Integrität zu prüfen. Auch bei der Prüfung, ob gegen Lizenzbestimmungen verstossen wird, helfen SCA-Tools durch die native License Violation Detection – das ist gerade bei den vielen Compliance-Anforderungen, die heutzutage erfüllt werden müssen, wichtiger denn je. Software Composition Analysis ist in diesem Zusammenhang deswegen so wertvoll, weil Anwendungen – selbst rein proprietäre – mittlerweile zu grossen Teilen aus Open-Source-Code bestehen.
Was gute ASPM-Lösungen von Standard-Tools überdies unterscheidet, sind unter anderem deren KI-Kapazitäten: Sie finden nicht nur Schwachstellen und Konfigurationsfehler, sondern geben direkt relevanten Kontext und Lösungsvorschläge für Entwickler, um den Code zu fixen.
2. Sensible Daten schützen
Datensicherheit ist das A und O, wenn es um die Application Security geht. Dazu gehört nicht nur, den Fremdzugriff auf IT-Systeme über Sicherheitslücken in Anwendungen zu verhindern. Auch im Code selbst sind zum Teil für Hacker und Cyberkriminelle wertvolle Informationen versteckt: sogenannte „Secrets“. Zu diesem „Geheimnissen“ gehören etwa hartkodierte Passwörter, die im Code hinterlegt sind und in der Regel ausschliesslich von Entwicklern verwendet werden, um den Prozess zu vereinfachen.
Aber auch API-Keys zu sensiblen IT-Bereichen sind erstaunlich oft im Anwendungscode verborgen. Gute ASPM-Lösungen haben daher Secrets-Scanner an Bord, die innerhalb des Codes und der gesamten Entwicklungs-Pipeline nach solch brisanten Informationen fahnden und vor potenziellen Risiken warnen – sehr gute suchen sogar in Produktivitäts- und Kommunikations-Tools wie Teams, Slack oder Jira nach Secrets.
3. Risiken minimieren durch KI-basierte Priorisierung
Eine hundertprozentige Sicherheit gibt es in der IT nicht: Schwachstellen oder Sicherheitslücken kommen definitiv vor – und zwar in einem Masse, dass ein sofortiges Reagieren auf alle Violations unmöglich ist. Das ist allerdings auch nicht nötig, denn nicht jede Schwachstelle ist auch wirklich kritisch. An dieser Stelle ist eine sinnvolle Priorisierung nötig, die allerdings ohne ASPM-Lösung praktisch nicht möglich ist: Erst durch ihre Funktion als zentrale Anlaufstelle für sämtliche Informationen zu Schwachstellen in den Anwendungen, kann eine faktenbasierte Triage der Schwachstellen im High-Fidelity-Kontext stattfinden. Hinzu kommt, dass nicht jede Sicherheitslücke, obwohl sie schwerwiegend ist, kritisch ist: Manche Sicherheitslücken haben trotz ihrer theoretischen Kritikalität keine unmittelbaren Auswirkungen auf die Anwendungssicherheit, da sie nicht öffentlich zugänglich sind. Gute ASPM-Lösungen bieten für die Priorisierung KI-Funktionen, die Schwachstellen nicht nur nach ihrem individuellen theoretischen Schadenspotenzial sortieren, sondern nach deren tatsächlicher Kritikalität.
4. Einhalten der Compliance automatisieren
Neben den allgegenwärtigen Sicherheitsrichtlinien wie DORA, dem Cyber Resilience Act und NIS-2 haben viele Unternehmen auch geschäftsinterne Compliance-Regularien für ihre Anwendungen. ASPM-Lösungen helfen Entwicklungs- und IT-Security-Teams dabei, automatisch zu prüfen, ob ihre Anwendungen diesen Richtlinien entsprechen. Das ist ein grosser Vorteil und erleichtert viele Massnahmen. Manch ASPM-Lösung ist darüber hinaus noch individualisierbar und kann nicht nur Standard-Frameworks für die Application Security und Compliance, sondern den Anwendungscode eben auch auf unternehmensinterne Vorgaben hin prüfen. KI-Kapazitäten kommen auch an dieser Stelle zum Einsatz, etwa um das ebenfalls wichtige Reporting zu automatisieren.
„Ein Security-by-Design-Ansatz spart Unternehmen viel Stress und Kosten“, betont Jochen Koehler, Vice President of Sales EMEA bei Cycode. „Für dessen erfolgreiche Umsetzung sind ASPM-Lösungen allerdings die Grundvoraussetzung. Indem sie DevSecOps-Teams über den gesamten Software Development Lifecycle hinweg tiefe Einblicke in potenzielle Risiken in ihrer Anwendungslandschaft bieten, helfen sie Unternehmen den sogenannten Shift Left zu vollziehen und Sicherheit von Beginn an und durchgängig im SDLC zu implementieren. Auf diese Weise können sie Probleme bereits lösen, bevor sie zu einer ernsthaften Gefahr werden.“
Der Autor
Jochen Koehler ist Vice President of Sales EMEA bei Cycode (Quelle: privat)
Über Cycode
Cycode ist Anbieter der gleichnamigen ASPM (Application Security Posture Management)-Plattform, die IT-Teams unterstützt, Schwachstellen und Sicherheitslücken in Anwendungen effektiv zu bekämpfen. Dafür sorgen die nativen Scanner von Cycode sowie optional Drittanbietertools, die Unternehmen nahtlos integrieren können. www.cycode.com