In diesem Beitrag gehen wir auf einige der häufigsten Fragen ein, die wir zur IT-Sicherheit erhalten. Von der Bedeutung der Einbeziehung von Sicherheitsmaßnahmen in das Anforderungsmanagement bis hin zur Information über die neuesten Sicherheitstrends. Außerdem gehen wir auf die entscheidende Rolle der Sicherheit im Entwicklungsprozess ein und geben Einblicke in die Sicherung älterer Systeme und die Implementierung kontinuierlicher interner Kontrollen.
Was können wir beim Anforderungsmanagement tun, um zu informationssicheren Anwendungen beizutragen?
Die OWASP-Top-10 ist eine Liste der häufigsten Sicherheitslücken in Webanwendungen, die Sie unbedingt beachten sollten. OWASP steht für Open Web Application Security und ist eine Organisation, die sich mit der Sicherheit von Softwareanwendungen beschäftigt.
Vor einigen Jahren wurde der OWASP ASVS (Application Security Verification Standard) veröffentlicht, ein hervorragendes Kompendium, um Sicherheitsprobleme im Anforderungsmanagement zu erkennen. Er kann als Anforderungserklärung für Anwendungen verwendet werden. ASVS ist wie eine Checkliste auf drei verschiedenen Ebenen. Beginnen Sie mit der ersten Ebene und vergleichen Sie mit dem, was Sie haben und was angewendet werden muss, und fahren Sie mit der nächsten Ebene fort. Alle Anwendungen müssen die erste Stufe bestehen. Wenn Sie Ihre Anforderungen um Sicherheitsaspekte erweitern wollen, würde ich mit dieser Stufe beginnen. Ein Tipp ist, niedrig anzufangen und schrittweise zu erhöhen. Viele Unternehmen machen den Fehler, zu viele Dinge auf einmal anzuwenden, die die Organisation letztlich nicht bewältigen kann.
Wie bleiben Sie in Sachen IT-Sicherheit auf dem Laufenden?
Wir folgen vielen Sicherheitsexperten auf Twitter, wo wir immer auf dem Laufenden gehalten werden, wenn etwas passiert ist oder ein neues Tool veröffentlicht wurde. Wir verfolgen auch Blogs zum Thema Sicherheit, z. B. Daniel Miessler, Podcast, Darknet Diaries. Darüber hinaus suchen wir nach Tools, Codeschnipseln oder Skripten, die veröffentlicht wurden oder werden, und finden heraus, was sie versuchen.
Wenn es um Sicherheitslücken geht, sitzen wir nicht jeden Tag da und beobachten, ob eine neue Sicherheitslücke für ein bestimmtes Produkt veröffentlicht wird. Erst wenn wir Aufträge haben, die eine Anwendung mit einer bestimmten Form des Anwendungsstapels beinhalten, schauen wir nach, welche Schwachstellen gerade existieren. Ansonsten ist Linkedin eine gute Quelle, um über neue Sicherheitslücken auf dem Laufenden zu bleiben.
Vor Covid wurden jeden Sommer große Sicherheitsveranstaltungen in Las Vegas organisiert: Black Hat, Def Con und BSides. Ein großartiger Ort, um Kontakte zu knüpfen und interessante Vorträge zu hör
Was bedeutet Sicherheit im Entwicklungsprozess?
Aus der Perspektive von Penetrationstests und auf der Grundlage unserer Aufgaben haben wir festgestellt, dass die Sicherheit erst sehr spät in Entwicklungsprojekte einfließt. Oft sogar erst dann, wenn das Produkt kurz vor der Produktionsfreigabe steht, weil das Unternehmen merkt, dass es einen Sicherheitstest durchführen muss. Und im schlimmsten Fall finden wir viele Schwachstellen, die behoben werden müssen. Das führt zu einer Verzögerung des Projekts und zu höheren Kosten.
Wir würden uns wünschen, dass sich die Unternehmen bereits in der Entwicklungsphase mit dem Thema Sicherheit beschäftigen. Wenn es um Sicherheit geht, spricht man in der Regel von Shift Left Testing, d. h., dass wir Sicherheit nicht als Zusatzfunktion am Ende einbauen, sondern von Anfang an. Die Sicherheit sollte in den Anforderungen enthalten sein.
Wie verwalten Sie die Sicherheit sowohl in der Infrastruktur als auch auf der Anwendungsebene, wenn die Systeme etwas älter sind?
Indem Sie die Sicherheit um das System herum aufbauen, z. B. durch kompensierende Kontrollen rundherum mit Firewalls der Schicht sieben, Deep Packet Inspection und durch Betrachtung der Anwendungsschicht. Überlegen Sie auch, ob Sie ein Intrusion Detection System (IDS) und/oder ein Intrusion Prevention System (IPS) einsetzen sollten. Dies sind einige Optionen zur Sicherung Ihrer etwas älteren Systeme.
Gibt es eine Best Practice für den Aufbau eines soliden Prozesses für kontinuierliche interne Kontrollen?
Arbeiten Sie mit den 20 CIS-Kontrollen. Welche Kontrollen gibt es heute in Ihrem Unternehmen?
Wenn wir über Kontrollen sprechen, dann ist das alles von:
- Verwenden Sie eine sichere E-Mail-Lösung?
- Behalten Sie den Überblick über Ihre Assets im Unternehmen?
- Haben Sie einen Überblick über Ihre Applications im Unternehmen?
- Führen Sie regelmäßig Pen Tests durch?
- Verfügen Sie über Kenntnisse über administrative Berechtigungen?
- Verwenden Sie eine sichere E-Mail-Lösung?
Es ist recht umfangreich, aber eine sehr gute Grundlage, wenn Sie anfangen wollen, Kontrolle, Struktur und einige Folgemaßnahmen zu erhalten. Wie bei allem anderen auch, sollten Sie nicht alles auf einmal in Angriff nehmen, sondern klein anfangen und sich Zeit lassen. Sicherheit ist keine Sache, die man in einem Monat erledigt, sondern ein langer Prozess. Große Unternehmen arbeiten und kämpfen ständig mit den CIS-Kontrollen, es ist eine große Sache, die man umsetzen muss, wenn man alle 20 einhalten will.
Wie entwickelt man sichere Anwendungen in der Cloud?
Wenn man die Infrastruktur und die Anwendung voneinander trennt und mit dem Anwendungsteil beginnt, sehen wir keinen großen Unterschied im Ansatz und in dem, was er können sollte. Die Infrastruktur hingegen, wie Key Management und Secrets, ist anders, als wenn man sie vor Ort in einem Rechenzentrum abwickelt. In der Cloud gibt es viele Sicherheitsvorkehrungen, die man in seinem eigenen Rechenzentrum nicht hat, wie z. B. die Rückverfolgbarkeit von Zugriffen. Aber damit das Ganze wie vorgesehen funktioniert, muss man es konfigurieren und richtig konfigurieren. Die Cloud ist nicht standardmäßig sicher, und es ist der Nutzer, der diese Funktionen konfigurieren und aktivieren muss, bevor sie im Internet verfügbar ist.
Gibt es eine gute Checkliste, die Sie empfehlen können, um Sicherheitsaspekte im Anforderungsmanagement hervorzuheben?
Ja, OWASP ASVS
Gibt es eine Möglichkeit zu überprüfen, ob Sie ein sicheres Produkt haben?
Ja, die "Shift Left"-Methode. Beginnen Sie mit der Sicherheit ganz am Anfang der Entwicklung und testen Sie das Produkt frühzeitig. Andere Möglichkeiten, um zu überprüfen, ob Sie ein sicheres Produkt haben, sind Penetrationstests, SAST-Scans (statische Analyse) und dynamische Analysen in Form von Scans von Webanwendungen. So können Sie Ihre Anwendung langfristig im Auge behalten.
Sie können auch die Threat-Modellierung nutzen. Nehmen Sie Ihre Anwendung, Ihre Entwickler und stellen Sie sich vor ein Whiteboard und zeichnen Sie die Anwendung. Sie können sie in kleinere Komponenten zerlegen oder sie ganz grob zeichnen. Betrachten Sie die Datenflüsse, wie und wo sie ein- und ausgehen, welche Funktionen zur Verfügung stehen, und beginnen Sie mit der Auflistung verschiedener möglicher Angriffsarten und möglicher Schwachstellen. Versuchen Sie dann, Sicherheit in die Anwendung einzubauen und zu implementieren.
Was ist Privacy by Design?
Privacy by Design ist ein schöneres Wort und bedeutet, dass Sie bereits in einem frühen Stadium über Sicherheit nachdenken sollten, wenn Sie bereits Sicherheitsanforderungen haben.
Threat Modelling, wie oben beschrieben, zu Beginn der Entwicklung ist ein sehr guter Anfang. Sehen Sie sich an, welche personenbezogenen Daten Sie haben, und versuchen Sie, die gesetzlichen Richtlinien zu befolgen. DSGVO gilt für personenbezogene Daten und PCI DSS ist ein gut entwickeltes rechtliches Dokument für den Umgang mit Kreditkartendaten. Wenn es sich um vertrauliche Informationen handelt, können Sie prüfen, welche rechtlichen Rahmenbedingungen Sie beachten müssen. Danach ist es wichtig, die Sicherheitsprozesse wie Sicherheitsanforderungen, Bedrohungsmodellierung, Codeüberprüfung, DAST-Tools, Penetrationstests und Infrastrukturtests mit Hilfe von Automatisierungstools einzubeziehen.
Könnte ein automatisierter Test eine Option sein (in Zeiten von Fachkräftemangel)? Oder sollte man eine Kombination haben? Können Sie irgendwelche Tests empfehlen?
Unsere Empfehlung ist, mehr zu automatisieren, wo es möglich ist, zu automatisieren. Wir sind der Meinung, dass man alle Prüfungen, die automatisiert werden können, z. B. in ASVS oder in einem CICD-Prozess durchführen kann. Verwenden Sie automatisierte Tools, DAST-Tools, Code-Review-Tools oder Ähnliches.
Unser Fachwissen wird für die komplexeren Fragen und für die Durchführung komplexerer Tests benötigt. Wenn wir Penetrationstests durchführen sollen, haben die Unternehmen oft weder Code-Reviews durchgeführt noch DAST-Tools eingesetzt. Das bedeutet, dass wir alle Arten von Schwachstellen identifizieren müssen, und das ist eine ganze Menge. Die besten Fälle sind, wenn wir einen Bericht von einem Schwachstellen-Scanner erhalten und wenn wir uns die Infrastruktur ansehen und feststellen, dass Code-Reviews und DAST-Tools durchgeführt wurden. Unsere Arbeit kann sich auf all die anderen Dinge konzentrieren, die Tools nicht leisten können, wenn es um reine Logik geht. Dazu gehören die Verwaltung der Logik in einer Anwendung, die reine Geschäftslogik und Ähnliches. Automatisierte Tools sind nicht besonders gut darin, diese zu erkennen, weil sie kein Konzept davon haben, wie die Anwendung selbst eigentlich funktionieren sollte. Automatisieren Sie so viel wie möglich und nutzen Sie unser Fachwissen für die Dinge, die die Tools nicht bewältigen können.
Tests die wir empfehlen:
OWASP ASVS, Level One ist so geschrieben, dass man es ziemlich vollständig automatisieren kann. Ein weiterer Leitfaden ist der OWASP Testing Guide, ein sehr guter Leitfaden zu Problemtypen und zur Identifizierung der Schwachstelle.
Wenn es um Tools geht, kommt es auf das Unternehmen an. Kein Werkzeug passt zu jedem.
DIE PERSONEN HINTER DEN ANTWORTEN
Jon Jezierski
Jon ist ein leidenschaftlicher IT-Sicherheitsspezialist mit mehr als 14 Jahren Erfahrung in einem breiten Spektrum von Disziplinen. Im Laufe der Jahre hat er in den meisten Branchen gearbeitet und über 700 technische Analysen in 12 verschiedenen Ländern durchgeführt.
Patrik Jezierski
Patrik arbeitet seit 2010 im Bereich IT-Sicherheit.In diesen Jahren hat er hauptsächlich als Pen Tester gearbeitet, aber bei seinen langfristigen Einsätzen hatte er mehrere verschiedene Rollen innerhalb der IT, was zu seinem breiten Wissen in der Branche geführt hat.
Mattias Döj
Seit 2016 hat Mattias mit einer großen Anzahl komplexer Systeme gearbeitet.Zunächst als Entwickler und Testautomatisierer, aber die meiste Zeit hat er als IT-Sicherheitsberater in einer Vielzahl von globalen Unternehmen gearbeitet.
