Zunehmend kommen deswegen eine neue Klasse von Schutzmechanismen oder – speziell in der Entwicklungsabteilung – Qualitätssicherungstools zum Einsatz, die zusammengenommen das genuin neue Feld Web-Applikationssicherheit ausmachen. Es betrifft IT-Verantwortliche in allen Bereichen – Betrieb/Administration, Qualitätsmanagement und Entwicklung. In der Folge müssen Abstimmungen und Routinen in Unternehmen neu aufgesetzt werden.
Das Patch-Dilemma
Erschwert wird die Sicherung von Web-Anwendungen durch das sogenannte Patch-Dilemma. Es beschreibt zwei Probleme, die der schnellen Absicherung von Applikationen in der Praxis entgegen stehen:
-
Wenn Unternehmen mit Standardlösungen arbeiten, gibt es in der Regel keinen Zugriff auf den Quellcode der Anwendung. Damit kann der Applikationsbetreiber Schwachstellen nicht selbst beheben. Die vom Hersteller gelieferten Fixes stehen erst zeitversetzt im Rahmen der üblichen Service-Zyklen zur Verfügung.
- Arbeiten Unternehmen mit Eigenentwicklungen, stellt sich das Problem anders: Patches für diese Anwendungen müssen unternehmensinterne Prüfverfahren durchlaufen, bevor sie in einem fest vorgesehenen Wartungsfenstern in die Produktivsysteme eingespielt werden können. Auch hier ist die Web-Anwendung in der Zwischenzeit ungeschützt.
Neuere WAFs übernehmen zudem weitere Sicherheitsfunktionen, die aufwendig zu programmieren sind – beispielsweise ein einheitliches und kryptographisch sicheres Session-Handling, das für mehrere Applikationen gilt. Wenn diese oder ähnliche Standards zentral durch die WAF statt dezentral in den verschiedenen Applikationen realisiert werden, unterstützt dies zudem die einheitliche Umsetzung einer Sicherheits-Policy.
Tools zum Auffinden von Schwachstellen
Web-Applikationssicherheit kann neben dem Einsatz einer WAF kann durch weitere Tools unterstützt werden: Statische Quellcodeanalysen kommen vor allem bei klassischen Entwicklungssprachen wie C oder C++ zum Einsatz. Sie ermitteln bekannte Schwachstellen, indem sie den Quellcode einer Anwendung nach bekannten Ungenauigkeiten durchsuchen. Die statische Analyse ist aber nur zuverlässig und effektiv, wenn der Quellcode vollständig vorhanden ist. Das heißt, dass die Untersuchung nur bei eigen entwickelten Anwendungen möglich ist, für die der Quellcode vorliegt. Die Analyse kann durch manuelle Inspektion erfolgen oder automatisch durch ein Programm.
Ein weiteres probates Mittel, um die Sicherheit von Web-Anwendungen zu erhöhen, sind Vulnerability-Scans; sie eignen sich besonders gut als Ergänzung zur statischen Quellcodeanalyse insbesondere bei bestehenden Applikationen. Ein Tool setzt die Anwendung automatisiert bekannten Angriffsmustern aus; das Ergebnis gibt einem entsprechend geschulten Zuständigen Aufschluss, wie angreifbar Web-Anwendungen von außen sind. Dies ist ein Cross-Check, ob und wie unberechtigte Aktionen durch Ausnutzung dieser Schwachstellen durchführbar sind oder ob die Schwachstellen durch bestehende Sicherheitsvorkehrungen abgeschirmt werden. Zudem können Vulnerability-Scanner Lecks in Standard-Software auffinden – dies ist ein für die Praxis besonders relevanter Unterschied zur oben beschriebenen Quellcodeanalyse, die ja Kenntnis des Quellcodes voraussetzt.
Seite 1 von 2 Nächste Seite>>
