Herkömmliche Sicherheitstools: Sicherheit zu welchem Preis?
Seit Jahren hören wir aus der Praxis, dass Sicherheitsteams die neuesten Lösungen für den Schutz von Webanwendungen und APIs kaufen und dennoch erfolgreichen Angriffen zum Opfer fallen. Sie recherchieren, machen Ausschreibungen, befassen sich eingehend mit Anbietern und sind überzeugt, dass ihr Tool das Richtige ist. Doch diese Gewissheit wird leider oft getrübt, wenn es trotzdem zu Angriffen kommt.
Wenn es Ihnen bereits genauso erging, sind Sie damit nicht alleine. Aus unserer gemeinsam mit Enterprise Strategy Group (ESG) Research veröffentlichten Studie „Der Wendepunkt bei Webanwendungen und API-Sicherheit“ geht hervor, dass Unternehmen im Durchschnitt 11 verschiedene Tools nutzen, doch 82 % der Befragten gaben an, in den letzten 12 Monaten von einem erfolgreichen Angriff betroffen gewesen zu sein.
Aber woran liegt das? Wie kommt es, dass Angreifer bei durchschnittlich 11 verschiedenen Tools dennoch erfolgreich sind? Unsere Umfrage unter Führungskräften aus den Bereichen Entwicklung, Security, IT und DevOps in 500 Unternehmen in Nordamerika, Europa, dem asiatisch-pazifischen Raum und Japan hat einige Probleme ans Licht gebracht, die vielleicht auch Ihnen nicht unbekannt sind.
Zu wenig Korrelation, zu viele manuelle Prozesse
Die von den Befragten mit 32 % am häufigsten genannte Herausforderung war das Korrelieren von Daten zwischen verschiedenen Tools. Bei so vielen Tools von verschiedenen Anbietern, unterschiedlichen Log-Formaten, die geparst werden müssen, fehlenden Integrationen und unterbesetzten Teams ist es kein Wunder, dass viele Unternehmen damit zu kämpfen haben.
Außerdem gaben 30 % der Befragten an, dass manuelle Prozesse sie daran hindern, mit den Bedrohungen Schritt zu halten. Bei vielen herkömmlichen Tools sind Regelanpassungen und Tests notwendig. Tatsächlich gaben 68 % der Befragten an, dass ihr Unternehmen mindestens einmal im Monat neue Regeln für eingesetzte Kontrollmechanismen entwickelt, wobei die Wirksamkeitstests in der Regel mindestens eine Woche dauern.
Bei einem so hohen Zeitaufwand für die Anpassung und das Testen von Tools sowie das Parsen von Daten aus möglicherweise Tausenden von Datensätzen bleibt den Security- und Engineering-Teams wenig Zeit für andere Dinge. Effizientere Tools lassen sich in Ihr bestehendes Toolset und Ihre Workflows integrieren und erfordern keine umfangreichen Anpassungen, um zu funktionieren.
False Positives treten häufig auf und sind zeitaufwändig
Wenn die verschiedenen Web-App- und API-Sicherheitstools, die in Unternehmen zum Einsatz kommen, effektiv funktionieren würden, ließe sich die Ineffizienz bei den Workflows möglicherweise tolerieren. Aber wahrscheinlich wissen Sie aus Erfahrung, dass das nicht der Fall ist.
Unsere Umfrageteilnehmer gaben an, von ihren Web-App- und API-Sicherheitstools durchschnittlich 53 Warnmeldungen pro Tag zu erhalten, wovon sich 45 % letztendlich als False Positives entpuppen. Das Problem dabei ist, dass man erst weiß, ob es sich um einen Fehlalarm handelt, wenn man sich bereits die Mühe gemacht hat, ihn zu untersuchen.
Außerdem gaben 46 % der Befragten an, dass ihre Systeme bei unentdeckten tatsächlichen Angriffen im Durchschnitt mehrere Tage nicht verfügbar seien. Gleichzeitig bestätigte derselbe Prozentsatz der Befragten, dass False Positives ähnliche Ausfallzeiten verursachen. Die Krux an der ganzen Geschichte ist also, dass 75 % der Unternehmen genauso viel oder mehr Zeit mit Falschmeldungen verbringen wie mit tatsächlichen Angriffen.
Diese Erkenntnis ist ziemlich ernüchternd, da jede Minute, die für die Ermittlung von False Positives verwendet wird, nicht für die Strategie zur Anwendungssicherheit bzw. die Verbesserung von Prozessen und Kompetenzen verwendet werden kann. Sicherheitsabteilungen mit zu wenig Personal oder Qualifikationen haben täglich einen schweren Stand beim Schutz ihrer Anwendungen. Sie verschwenden sowohl Zeit als auch Ressourcen und brauchen moderne Sicherheitstools, die nicht nur Angriffe selbst, sondern auch die Angriffsabsicht erkennen.
Inaktive Tools bieten keinen Schutz
Bei Tools, die zu schwer zu bedienen sind und Zeit und Ressourcen verschwenden, ist es kein Wunder, dass die Nutzer dieser Tools frustriert sind. Unseren Untersuchungen zufolge arbeiten 53 % der Befragten im Logging oder Monitoring Mode statt im vollständigen Blocking Mode. 12 % geben an, ihre Tools abzuschalten, und 26 % tun beides.
Mit anderen Worten: Mehr als ein Drittel der Befragten war der Meinung, dass die vollständige Abschaltung ihrer Sicherheitstools eine weniger störende Maßnahme sei als der ständige Umgang mit Fehlalarmen. Noch beunruhigender ist, dass diese Tools sehr kurz nach ihrer Bereitstellung abgeschaltet werden. 82 % der Befragten gaben an, dass ihr Unternehmen die Tools zum Schutz von Webanwendungen und APIs bereits weniger als einen Monat nach ihrer Bereitstellung abgeschaltet hat.
Ein neuer Ansatz muss her
Bei dieser Datenlage es nicht verwunderlich, dass Unternehmen bereit sind, neue Wege zu beschreiten. Wir brauchen integrierte, konsolidierte Tools, die von unterschiedlichen Teams genutzt werden können. Doch diese Erkenntnis ist scheinbar nichts Neues: Ganze 93 % der Befragten gaben an, Interesse an einer konsolidierten Web-App- und API-Sicherheitslösung zu haben oder deren Einsatz zu planen, um die Effizienz ihrer Sicherheitsbemühungen zu verbessern, einheitlichen Schutz über unterschiedliche Anwendungsarchitekturen und -umgebungen hinweg zu bieten und Kosten zu senken.
Es gab nie einen besseren Zeitpunkt, um Ihre Prozesse und Security Stacks auf den neuesten Stand zu bringen und zu konsolidieren. Laden Sie sich die vollständige Studie herunter, um mehr über dieses wichtige Thema zu erfahren.