Lean Application Security
Lean Application Security ist ein schlankes Vorgehensmodell zur Integration von Sicherheit im Softwareentwicklungsprozess. Es hat die Entwicklung von Grund auf sicherer Anwendungen und Systeme zum Ziel, ohne dabei den Projektfluss zu stören und das Projektergebnis zu verkomplizieren.
Lean Application Security integriert sich nahtlos in moderne agile Entwicklungsmodelle und DevOps-Prozesse.
Wir unterstützen Projekte und Organisationen bei der Umsetzung von Anwendungssicherheit mit unserem Ansatz der Lean Application Security.
Lean Application Security im Überblick
Sicherheitsbemühungen während der Softwareentwicklung haftet das Stigma an, Kosten zu erhöhen, den Projektfluss zu stören und das Projektergebnis zu verkomplizieren. Vielfach erhält Sicherheit daher innerhalb eines Softwareprojekts einen entsprechend niedrigen Stellenwert.
Unser Beratungskonzept zielt darauf ab, diese Hemmnisse im Ansatz zu vermeiden.
Kick-off: Der erste Zuschnitt erfolgt in einem Workshop
Die initiale Bestandsaufnahme mit wesentlichen Stakeholdern liefert die Basis für alles Weitere:
- In welcher Phase befindet sich das Projekt?
- Wie wird die Risikosituation eingeschätzt
- Welchen Security-Reifegrad hat das Team
- Vorstellung des organisatorischen Rahmens auf Kundenseite (z. B. Entwicklungsvorgehen, Budget-Situation, Stakeholder)
- Technische Aufstellung (z. B. Technologistack, Einbettung in Systemlandschaft)
Zu den Faktoren, die Einfluss auf Art und Umfang dieses initialen Schrittes haben, gehören:
- Wurde eine Risiko-/Bedrohungsanalyse durchgeführt?
- Existiert ein Sicherheitskonzept?
- Welche Compliance- und Sicherheitsanforderungen bestehen hausintern?
Ergebnis
Mit dem Ergebnis des Kick-offs sind wir in der Lage, aus dem Spektrum von Aktivitäten zur Herstellung von Sicherheit die potentiell in Frage kommenden Ansätze vorzuqualifizieren und dem Projekt vorzustellen.
In einer gemeinsamen Arbeitsrunde werden Nutzen, Anwendbarkeit, Konsequenzen für die Projektabwicklung sowie Kosten diskutiert und eine qualifizierte Entscheidung hinsichtlich Art und Umfang der Umsetzung getroffen. Eine verbindliche Abschätzung über das Maß unserer Unterstützung lässt sich bereits zu diesem Zeitpunkt treffen.
In den Fällen, wo sich noch keine ausreichende Informationsbasis ergeben hat, lässt sich Klarheit durch eine vorangestellte Risikoanalyse und/oder Architekturanalyse erreichen. Das ist zumeist dann der Fall, wenn:
- dem Auftraggeber die Bedrohungssituation noch nicht ausreichend klar ist
- die Abhängigkeit der Sicherheit von der Einbettung in eine komplexe Systemumgebung nicht überschaubar ist
- oder das Projekt sich bereits in einem fortgeschrittenen Zustand befindet.
Der Baukasten: Individuell anpassbare und kombinierbare Module
Modul: Risikoanalyse
Identifizierung von Risiken mittels standardisierten Threat-Modelling Verfahren. Ermöglicht, Maßnahmen auf den notwendigen Umfang zu reduzieren.
Modul: Architekturanalyse
Ermittelt die für die Sicherheit der Anwendung essentiellen Abhängigkeiten zur umgebenden Systemlandschaft.
Modul: Schulungen
Application Security und Secure Coding Schulungen gelten als hochwirksame Maßnahme im Bestreben nach sicher entwickelten Anwendungen.
Modul: Patchprozesse
Dieses leicht anzuwendende Modul überwacht die eingebundenen Drittkomponenten und alarmiert umgehend bei Bekanntwerden von Schwachstellen.
Modul: Penetrationstests
Manuelle Penetrationstests zu größeren Meilensteinen bilden das wichtige letzte Security-Gateway vor der Liveschaltung.
Modul: Expertenbegleitung
Der SEP (Security-Expert-in-Project) steht als ständiger Ansprechpartner zur Verfügung und kann, in beliebig skalierbarem Umfang, operativ im Projekt agieren.
Modul: Monitoring
Anwendungen in Produktion sind stets Angriffsversuchen ausgesetzt. Ein kluges Monitoring warnt, sobald ein Versuch für den Angreifer erfolgsversprechend abläuft.
Modul: Weitere Maßnahmen
Das weite Feld der Application Security ist reich an weiteren kleineren oder größeren Maßnahmen zur Erhöhung der Sicherheit.
Schlüsselstrategie: Automatisierung und Hinterlegung von Wissen
Wo immer möglich, richten wir die Umsetzung der Maßnahmen so aus, dass sie eine bleibende, über den unmittelbaren Einsatz hinausgehende Wirkung erzielen. Wir erreichen dies durch Automatisierung und die dauerhafte Verfügbarmachung von Wissen.
Automatisierung
Genauso wie bei der klassischen Qualitätssicherung gilt auch bei der Security, entwicklungsbegleitend ausgiebig zu testen. Die Herstellung eines hohen Automatisierungsgrades führt nicht nur zu einer Maximierung der Effizienz, sondern auch zur Wiederverwendbarkeit der bereitgestellten Tools und Prozesse für Folgeprojekte.
Hinterlegung von Wissen
- Secure Coding Guidelines lassen sich – auf die Unternehmensanforderungen und den genutzten Technologiestack zugeschnitten – aus den Arbeitsergebnissen ableiten.
- Die Einhaltung der Guidelines kann je nach verwendetem Tool durch Regeln automatisch überprüft werden.
- Das Prinzip, Sicherheitsmaßnahmen in der Architektur zu verankern, führt dazu, dass diese Folgeprojekten automatisch zukommen, die auf derselben Architektur aufbauen
mgm DeepDive
mgm ATLAS
mgm ATLAS ist die effiziente Integration von automatisierten Tests in Entwicklungsprozesse. Es ergänzt unseren Lean Application Security Ansatz optimal um eine schlanke und skalierbare Testplattform.
Das Qualitätsmerkmal Sicherheit wird zunehmend zu einer zentralen Eigenschaft von Softwareprodukten. Wird es auf herkömmliche Weise – d.h. durch Schwerpunktsetzung auf Sicherheitstests am Ende von Meilensteinen – angegangen, ergeben sich jedoch fast unausweichlich gravierende Auswirkungen auf Zeit- und Budgetrahmen.
- Lesen Sie hier den Artikel Mit Sicherheit agil: Entwicklungsbegleitende Security löst das Kostendilemma