Lean Application Security

Ein erprobtes Konzept für inhärent sichere Anwendungen und Systeme durch frühzeitige Einbindung von Sicherheit in den Softwareentwicklungsprozess.

Wir unterstützen Projekte und Organisationen bei der Umsetzung von Anwendungssicherheit mit unserem Ansatz der Lean Application Security.

Lean Application Security ist ein schlankes Vorgehensmodell zur Integration von Sicherheit in den Softwareentwicklungsprozess. Es hat die Entwicklung von Grund auf sicherer Anwendungen und Systeme zum Ziel, ohne dabei den Projektfluss zu stören und das Projektergebnis zu verkomplizieren.

Lean Application Security integriert sich nahtlos in moderne agile Entwicklungsmodelle und DevOps-Prozesse.

Eigenschaften von Lean Application Security

Maßgeschneidert

Jedes Projekt ist anders. Projektstruktur, Timeline, Reifegrad, Schutzbedarf, Technologiestack, Budget und vieles mehr sind wichtige Faktoren, die es bei der Auswahl von Art und Umfang der Maßnahmen und Tools zu berücksichtigen gilt.

Effizient

Wir automatisieren überall dort, wo es möglich und sinnvoll ist. Dabei legen wir größten Wert darauf, dass der Entwicklungsprozess nicht verkompliziert und die technische Prozesskette keinem Störrisiko ausgesetzt wird.

Nachhaltig

Unsere Beratung zielt darauf ab, die erbrachten Leistungen über das jeweilige Projekt hinaus wirken zu lassen. Mit jedem Einsatz steigt der Reifegrad der Organisations-einheit bzw. der gesamten Organisation.

Unser Grundprinzip: Sicherheit darf kein Selbstzweck sein!

Sicherheitsbemühungen während der Softwareentwicklung haftet das Stigma an, Kosten zu erhöhen, den Projektfluss zu stören und das Projektergebnis zu verkomplizieren. Vielfach erhält Sicherheit daher innerhalb eines Softwareprojekts einen entsprechend niedrigen Stellenwert. Ein niedriges Sicherheitsniveau mit einhergehendem hohen Risiko über den gesamten Lebenszyklus einer Anwendung sind die Folge.

Unser Beratungskonzept zielt darauf ab, diese Hemmnisse im Ansatz zu vermeiden. Es hat sich gezeigt, dass eine kompromisslose Ausrichtung der sicherheitsgebenden Maßnahmen an den Kriterien Kostensenkung und Akzeptanz eine tragfähige Basis zur Erreichung dieses Ziels darstellt:

Der Umfang an Sicherheit muss in der Gesamtbetrachtung zu einer Kostensenkung führen.
Art, Umfang und Umsetzung der Sicherheitsaktivitäten und -maßnahmen werden so motiviert, dass sie die Akzeptanz aller Projektbeteiligten finden.

Aus diesen Schlüsselanforderungen leitet sich unser an Softwareprojekte gerichtetes Lean Application Security Vorgehensmodell zur Herstellung inhärent sicherer Anwendungen und der Automatisierung der technischen Prozesskette ab.

Lean Application Security im Überblick

Application Security wird in einer Weise verankert, die den gesamten Entwicklungsprozess umschließt und stützt.

Kick-off: Der erste Zuschnitt erfolgt in einem Workshop

Die initiale Bestandsaufnahme mit wesentlichen Stakeholdern liefert die Basis für alles Weitere ♦ In welcher Phase befindet sich das Projekt? ♦ Wie wird die Risikosituation eingeschätzt? ♦ Welchen Security-Reifegrad hat das Team? ♦ Vorstellung des organisatorischen Rahmens auf Kundenseite (z. B. Entwicklungsvorgehen, Budget-Situation, Stakeholder) ♦ Technische Aufstellung (z. B. Technologistack, Einbettung in Systemlandschaft).

Zu den Faktoren, die Einfluss auf Art und Umfang dieses initialen Schrittes haben, gehören:

Wurde eine Risiko-/Bedrohungsanalyse durchgeführt?
Existiert ein Sicherheitskonzept?
Welche Compliance- und Sicherheitsanforderungen bestehen hausintern?

Ergebnis

Mit dem Ergebnis des Kick-offs sind wir in der Lage, aus dem Spektrum von Aktivitäten zur Herstellung von Sicherheit die potentiell in Frage kommenden Ansätze vorzuqualifizieren und dem Projekt vorzustellen. In einer gemeinsamen Arbeitsrunde werden Nutzen, Anwendbarkeit, Konsequenzen für die Projektabwicklung sowie Kosten diskutiert und eine qualifizierte Entscheidung hinsichtlich Art und Umfang der Umsetzung getroffen. Eine verbindliche Abschätzung über das Maß unserer Unterstützung lässt sich bereits zu diesem Zeitpunkt treffen.

In den Fällen, wo sich noch keine ausreichende Informationsbasis ergeben hat, lässt sich Klarheit durch eine vorangestellte Risikoanalyse und/oder Architekturanalyse erreichen. Das ist zumeist dann der Fall, wenn

dem Auftraggeber die Bedrohungssituation noch nicht ausreichend klar ist
die Abhängigkeit der Sicherheit von der Einbettung in eine komplexe Systemumgebung nicht überschaubar ist
oder das Projekt sich bereits in einem fortgeschrittenen Zustand befindet.

Der Baukasten: Individuell anpassbare und kombinierbare Module

Unser Lean Application Security Vorgehen besteht aus den im Folgenden aufgeführten Modulen. Die zum Einsatz kommenden Module werden individuell auf das Projekt zugeschnitten. Sie sind weitestgehend unabhängig voneinander anwendbar und untereinander kombinierbar.

Modul:
Risikoanalyse

Identifizierung von Risiken mittels standardisierten Threat-Modelling Verfahren. Ermöglicht, Maßnahmen auf den notwendigen Umfang zu reduzieren.

Dieses Modul empfiehlt sich in komplexen und sicherheitskritischen Architekturen oder wenn durch einen Zuschnitt der Maßnahmen auf die Risikosituation eine Vereinfachung und Kostenreduktion zu erwarten ist. Wir wenden ein standardisiertes Threat-Modelling Verfahren an, auf der Basis von STRIDE zur Bedrohungsqualifikation und der DREAD-Methode zur Quantifizierung des Risikos. Zusammen mit einer Einschätzung des Schutzbedarfs ermöglicht das Ergebnis, einzelne identifizierte Risiken als tragbar zu qualifizieren und die durchzuführenden Maßnahmen auf das Notwendige zu reduzieren.

Modul:
Architektur-analyse

Ermittelt die für die Sicherheit der Anwendung essentiellen Abhängigkeiten zur umgebenden Systemlandschaft.

Anwendungen, die in eine komplexe Systemlandschaft eingebettet sind, lassen sich – mit vertretbarem Aufwand – nicht isoliert absichern. Ein Betrachtung der Gesamtarchitektur inkl. aller zuliefernden Datenquellen und konsumierenden Datensenken, Kommunikationsbeziehungen, der Netzwerksegementierung, Vorhandensein von zusätzlichen Sicherungslinien u.v.m. sowie die Idenifikation und Festlegung von Vertrauensübergängen („Trust-Boudaries“) ist ein wesentlicher Bestandteil der Sicherheitsbemühungen.

Das von der Architekturanalyse gelieferte Ergebnisdokument stellt über die gesamte Projektlaufzeit ein Fundament für die Entscheidungsfindung hinsichtlich Securitymaßnahmen dar.

Modul:
Test Automati-sierung

Durch Auswahl und Einbau geeigneter (Open Source-) Tools in die Prozesskette wird die maximale Effizienz und Wiederholbarkeit von Securitytests gewährleistet.

Securitytests lassen sich nur begrenzt automatisieren. Dennoch ist es wichtig, das Maximum an Automatisierung anzustreben, dabei aber – um sich nicht auf unzuverlässige Ergebnisse zu stützen – nicht zu weit zu gehen. Die, angesichts ihrer Stärken und Schwächen, richtige Anwendung von Techniken und Tools wie der Statischen Codeanalyse (SAST), des automatischen Schwachstellenscannens (DAST), der Prüfung von Codeabhängigkeiten und potentiell unsicheren Libraries, der Ausführung projektspezifischer Sicherheitsskripte usw. ist dabei genauso essenziell wie die Zuordnung einzelner Prüfungen zum passenden Build-Zyklus. Von der Ausführung der hochautomatisierbaren Tests mit jedem Push, über die Anwendung im regulären Nightly-Build oder am Ende des Sprints bei aufwändigeren Tests bis hin zu den mit hohem Aufwand verbundenen Tests – wie etwa ein manueller Pentest – zu festgelegten Meilensteinen.

Der einmal zum Aufbau der Prozesskette betriebene Aufwand reduziert sich mit jedem Folgeprojekt signifikant und lässt dieses gewissermaßen bereits auf einem deutlich höheren Sicherheitsniveau starten.

Modul:
Code Review

Einrichtung des teaminternen manuellen Codereviews auf Sicherheit als selbstverständlicher Bestandteil des Entwicklungsprozesses.

Im Unterschied zur Anwendung eines SAST-Tools, bei dem das Ziel die Erreichung eines möglichst hohen Automatisierungsgrad ist, wird mit dem Code-Review die manuelle Inspektion des Codes auf Sicherheit in den Fokus gerückt. Dies geschieht zum einen, um an besonders sicherheitsrelevanten Stellen auch die Probleme zu erkennen, die ein SAST-Tool nicht abdeckt, zum anderen , um einen Prozess des sich gegenseitigen Schulens in Sachen sichere Softwareentwicklung in Gang zu halten.

Unter Anleitung eines erfahrenen Praktikers werden die relevanten Codebereiche festgelegt und der Reviewprozess aufgesetzt. Als Variante des Vorgehens können die Reviews auch dauerhaft von unseren Experten übernommen werden.

Modul:
Schulungen

Application Security und Secure Coding Schulungen gelten als hochwirksame Maßnahme im Bestreben nach sicher entwickelten Anwendungen.

Die Herstellung des Bewusstseins für die Sicherheit in der Softwareentwicklung, die Vermittlung der Grundlagen der Web Application Security und die konkrete Anleitung im „Secure Coding“ sind sehr wirkungsvolle Mittel, um ein Softwareprojekt initial auf ein erhöhtes Sicherheitsniveau zu heben. Ein zusätzlicher Vorteil ergibt sich daraus, dass entsprechend geschulte Softwareentwickler und Verantwortliche die Ergebnisse von Sicherheitstests und -analysen sehr viel besser verstehen und dadurch grundlegender und nachhaltiger umsetzen können.

Zu unserem Schulungsprogramm.

Modul:
Patchprozesse

Dieses leicht anzuwendende Modul überwacht die eingebundenen Drittkomponenten und alarmiert umgehend bei Bekanntwerden von Schwachstellen.

Schwachstellen, die in eingebundenen frei verfügbaren oder kommerziellen Drittkomponenten vorhanden sind, machen automatisch die eigene Software unsicher. Bei Bekanntwerden solcher Schwachstellen werden umgehend Angreifer aktiv, um gezielt nach betroffenen Anwendungen zu suchen und entsprechende Exploits anzuwenden. Um dem zu begegnen, ist es wichtig, einen zeitnah reagierenden Prozess aufzusetzen, der die Bedrohung erkennt und abwendet.

Das Spektrum der Maßnahmen beinhaltet u. a. den Einsatz geeigneter Monitoring-Tools (Dependency-Checker), den Abschluss eines Servicevertrags mit einem Dienstleister, der die Alarmierung übernimmt, oder die Einführung einer vor der Anwendung positionierten Web Application Firewall, mit der sich zumeist rasch Regeln erstellen lassen, die eine Ausnutzung der Schwachstelle erkennen und blockieren.

Modul:
Penetrationstests

Manuelle Penetrationstests zu größeren Meilensteinen bilden das wichtige letzte Security-Gateway vor der Liveschaltung.

Penetrationstests sind eine sinnvolle Maßnahme, Webanwendungen und mobile Apps vor der Produktivschaltung einer Abnahme auf ihre Sicherheit zu unterziehen. Dies geschieht durch Nachstellen des Angreiferszenarios mit einem „White-Hat Hacker“. Eine Automatisierung ist hierbei nur sehr begrenzt möglich, nur ein entsprechend ausgebildeter Experte ist in der Lage, umfassend zu testen und verlässliche Aussagen zu treffen. Der Einsatz dieser Resource ist zeit- und kostenintensiv und muss daher sorgfältig abgewogen werden.

Siehe auch: Die große Application Security Penetration Test FAQ für Auftraggeber.

Modul:
Experten-Begleitung

Der SEP (Security-Expert-in-Project) steht als ständiger Ansprechpartner zur Verfügung und kann, in beliebig skalierbarem Umfang, operativ im Projekt agieren.

Im Rahmen der Softwareentwicklung tauchen regelmäßig Fragen bezüglich der sicheren Implementierung neuer Features oder dem Umgang mit unvorhergesehenen Situationen auf. Beispielsweise brauchen die meisten Anwendungen sichere Registrierungs-, Login-, Logout- und Password-Reset-Prozesse. Die Frage der Umsetzung kann nicht allgemeingültig beantwortet werden sondern sollte der Anwendung angemessen entschieden werden. Eine unvorbereitete Situation entsteht meist, wenn ein Sicherheitsvorfall eingetreten ist – oder zumindest ein Externer von einer Schwachstelle berichtet, die er gegen einen Finderlohn preisgeben würde.

In solchen Situationen schätzen Entwicklungsteams einen Ansprechpartner, der Ihnen kompetent zur Seite steht und gemeinsam aus der Situation hilft. Ein solcher Ansprechpartner kann dauerhaft, gelegentlich oder auf Abruf dem Team zur Verfügung stehen.

Modul:
Monitoring

Anwendungen in Produktion sind stets Angriffsversuchen ausgesetzt. Ein kluges Monitoring warnt, sobald ein Versuch für den Angreifer erfolgsversprechend abläuft.

Trotz aller Vorkehrungen können Schwachstellen in Software nie ausgeschlossen werden. Diese können in selbstentwickelten oder in Drittkomponenten auftreten. Außerdem können sog. Denial-of-Service-Angriffe (DoS) eine Anwendung derart überlasten, dass sie auf legitime Anfragen nicht mehr reagiert.

Beim Monitoring werden Zugriffe auf die Anwendung protokolliert und – im besten Fall – mit den Protokollen anderer Anwendungen korreliert. Diese Protokolle ergeben ein Gesamtbild der Lage einer Infrastruktur. Geeignete Tools können die Protokolle zumindest so weit interpretieren, dass ein menschlicher Blick darauf nur bei Verdachtsmomenten notwendig ist.

Modul:
Weitere Maßnahmen

Das weite Feld der Application Security ist reich an weiteren kleineren oder größeren Maßnahmen zur Erhöhung der Sicherheit.

Erstellung von Secure Coding Guidelines: Ergänzend zu allgemeinen Coding Guidelines und Best Practices werden auf den Technologiestack des Kunden zugeschnittene Secure Coding Guidelines erstellt. Diese erleichtern es den Entwicklern, erprobten Umsetzungsempfehlungen für sicherheitsrelevante Code-Bereiche zu folgen.

Security Libraries stellen eine Vielzahl von sicherheitsgebenden Funktionen und Services zur Verfügung, die direkt eingebunden werden können oder als Vorlage für Eigenimplementierungen dienen können.

Durchführung einer initialen Ist-Analyse mit dem Mittel des Penetrationstests: Insbesondere bei Softwareprojekten, die sich zum Zeitpunkt der Einführung des Securityprogramms bereits in fortgeschrittenem Stadium befinden, stellt der Penetrationstest ein leichtgewichtiges Mittel dar, um eine Aussage über den Stand der Sicherheit und die Dringlichkeit von Maßnahmen zu treffen.

Schlüsselstrategie: Automatisierung und Hinterlegung von Wissen

Wo immer möglich, richten wir die Umsetzung der Maßnahmen so aus, dass sie eine bleibende, über den unmittelbaren Einsatz hinausgehende Wirkung erzielen. Wir erreichen dies durch Automatsierung und die dauerhafte Verfügbarmachung von Wissen.

Automatisierung

Genauso wie bei der klassischen Qualitätssicherung gilt auch bei der Security, entwicklungsbegleitend ausgiebig zu testen. Die Herstellung eines hohen Automatisierungsgrades führt nicht nur zu einer Maximierung der Effizienz, sondern auch zur Wiederverwendbarkeit der bereitgestellten Tools und Prozesse für Folgeprojekte.

Hinterlegung von Wissen

Secure Coding Guidelines lassen sich – auf die Unternehmensanforderungen und den genutzten Technologiestack zugeschnitten – aus den Arbeitsergebnissen ableiten.
Die Einhaltung der Guidelines kann je nach verwendetem Tool durch Regeln automatisch überprüft werden.
Das Prinzip, Sicherheitsmaßnahmen in der Architektur zu verankern, führt dazu, dass diese Folgeprojekten automatisch zukommen, die auf derselben Architektur aufbauen,