Neuer Forrester Bericht betont, wie wichtig es ist, Anwendungen abzusichern und Security in DevOps zu integrieren
Der jährliche Bericht „The State Of Application Security“ von Forrester hat sich zu einem Prüfstein für Unternehmen auf ihrem Weg zu mehr Sicherheit für Webanwendungen – auch „AppSec“ genannt – entwickelt, und die diesjährige Fassung bildet dabei keine Ausnahme. Der Bericht 2021 untersucht, inwiefern eine zunehmende Verbreitung von Open Source, APIs und Containern die Komplexität für Sicherheitsteams erhöht. In diesem Blogpost wollen wir einen Blick auf einige weitere wichtige Erkenntnisse aus dem diesjährigen Bericht werfen.
Anwendungen sind immer noch ein Hauptangriffsvektor
Obwohl die Abhängigkeit von Anwendungen in den letzten Jahren stetig zugenommen hat, überrascht es wohl niemanden, dass der abrupte Wechsel zur Telearbeit 2020 Unternehmen dazu veranlasst hat, sich noch stärker auf Anwendungen zu stützen. Forrester prognostiziert, dass Webanwendungen auch in Zukunft ein Hauptvektor für externe Angriffe sein werden, und zwar vor allem aus drei Gründen:
Die kontinuierliche Zunahme der Nutzung von Open Source.
Eine erhebliche Zunahme von Sicherheitsuntersuchungen, die zu einem Anstieg der gemeldeten Sicherheitsprobleme – einschließlich einer Vielzahl von API-Schwachstellen – geführt haben.
Die wachsende Beliebtheit von Container-Umgebungen, die mit zahlreichen Code- und Konfigurationsproblemen zu kämpfen haben.
Da Anwendungen nach wie vor ein beliebtes Angriffsziel sind, planen viele Unternehmen, der Verbesserung ihres AppSec-Profils im kommenden Jahr Priorität einzuräumen. Während 28 % der in der Forrester Studie befragten Sicherheitsentscheider planen, ihre Anwendungssicherheit zu verbessern, wollen 21 % sogar noch weiter gehen und Security vorrangig in die Entwicklungsprozesse integrieren.
Wo stehen Sie? Bewerten Sie Ihr AppSec-Profil in Bezug auf Ihre allgemeine Sicherheitslage und lesen Sie weiter, um Anleitungen für die Auswahl von Tools sowie Möglichkeiten zur Verbesserung der Sicherheit zu einem früheren Zeitpunkt im Lebenszyklus der Softwareentwicklung zu erhalten.
AppSec-Tools helfen, die Kluft zwischen Sec und Dev zu überbrücken
Angreifer sind selbst Developer: Sie entwickeln Malware und suchen stets nach Schwachstellen in der Infrastruktur, die sie ausnutzen können. Ihre Taktiken entwickeln sich ständig weiter und passen sich kontinuierlich an.Da diese Anpassungen besonders schnell erfolgen, müssen Unternehmen lernen, ebenso schnell zu reagieren.
Während eine Automatisierung von Sicherheitstests für Anwendungen in der frühen Entwicklungsphase als Teil der DevOps-Pipeline wichtig ist, empfiehlt der diesjährige Bericht, die Behebung von Sicherheitsproblemen in der Produktivumgebung zu beschleunigen, sobald diese entdeckt werden. Daten von Forrester zufolge bekommen Sicherheitsexperten, die weiterhin nach der Shift-Left-Methode vorgehen oder Tests und Abhilfemaßnahmen früher im Entwicklungsprozess implementieren, Probleme schneller in den Griff. Durch die Kombination von statischen und dynamischen Anwendungstests waren Unternehmen beispielsweise in der Lage, Sicherheitsmängel 24,5 Tage schneller zu beheben als der Durchschnitt.
Um Angriffen in Echtzeit vorzubeugen, muss in eine Sicherheitslösung investiert werden, die sowohl schnelle Transparenz als auch Kontrolle ermöglicht. Und das kann nicht nur für einen Standort oder eine Einrichtung gelten. Software und Mitarbeiter werden weltweit eingesetzt, und die Sicherheit muss an allen Standorten gleich sein. (Weitere Informationen zu diesem Thema und darüber, wie API-fähige Sicherheitslösungen eine schnelle Behebung von Störungen ermöglichen, finden Sie in unserem On-Demand-Webinar „API-First Security for Real-Time Attack Response“.)
Der Shift-Left-Ansatz wird weiter verwendet, aber neue AppSec-Tools werden nicht einheitlich genutzt
Angesichts der Zunahme von API-bedingten Sicherheitsverletzungen versuchen Sec-Teams, API-Sicherheitslösungen mit Nachdruck zu implementieren. Es bleibt jedoch noch einiges zu tun, denn Unternehmen müssen auch dafür sorgen, dass ihre Tools mit den neuen Anwendungsarchitekturen Schritt halten können.
Eine der wichtigsten Empfehlungen des Berichts für die Aktualisierung und Verbesserung von AppSec-Tools und -Prozessen ist, nach der Shift-Left-Methode zu arbeiten. Forrester hat herausgefunden, dass immer mehr Unternehmen, die den Wert einer frühzeitigen Problembehebung erkannt haben, Sicherheitsüberprüfungen für Anwendungen in der Entwicklungs- statt in der Testphase durchführen.
Sie wissen, dass Vorbeugen besser ist als Heilen, und suchen wahrscheinlich nach Möglichkeiten, den Shift-Left-Ansatz immer mehr in Ihre Softwareentwicklung zu integrieren. Da Tools immer einfacher in die CI/CD-Toolchain integriert werden können, sollten Sie prüfen, ob Sie diese früher im Software-Entwicklungszyklus einsetzen können. Auch die Container-Sicherheit, die in vielen Unternehmen bei Sicherheitstests zu kurz kommt, sollte dabei nicht in Vergessenheit geraten. Mit Shift-Left zu arbeiten bedeutet auch, dass Sie sich überlegen müssen, wo Sie die notwendigen Sicherheitsvorkehrungen für Container in der Entwicklung anstatt in der Produktivumgebung implementieren können.
AppSec-Strategien sollten mit agilen Entwicklungsprozessen mithalten
Da Unternehmen zunehmend auf Open-Source-Komponenten und Komponenten von Drittanbietern zurückgreifen und mehr APIs nach außen öffnen, fordert der Forrester Bericht Sicherheitsexperten auf, die Kommunikation zwischen Sicherheits- und Entwicklungsteams zu fördern und automatisierte Sicherheitstests während der gesamten Entwicklung einzusetzen.
Forrester betont, wie wichtig es ist, Sicherheitstools zu verwenden, die auch Rückhalt bei Entwicklern haben. Da moderne AppSec-Tools viel stärker auf Entwickler ausgerichtet sind, ist es für Sicherheitsexperten einfacher, mit Entwicklungsteams zusammenzuarbeiten, damit Sec in die Dev-Abläufe integriert wird. Ihre Tools für die Anwendungssicherheit sollten sich nicht auf die bloße Erkennung beschränken, sondern auch Kontext und Anleitungen für Abhilfemaßnahmen bieten.
Jetzt sind Sie am Zug
Da sich die Software-Entwicklung stets weiterentwickelt, heißt es in dem Bericht: „Neue Entwicklungsmethoden bedeuten Änderungen der traditionellen Sicherheitsparadigmen.“Wir hören es von unseren Kunden und sagen es auch selbst, dass dies eine vorausschauende Planung und Investition in Tools für die Anwendungssicherheit erfordert, die sich problemlos in künftige Anwendungsentwicklungspläne und -architekturen integrieren lassen.
Der Gedanke, Ihren Stack für flexiblere, leistungsfähigere und einheitlichere Sicherheitslösungen zu überarbeiten, mag zunächst wie eine unlösbare Aufgabe erscheinen. Die Vorteile, die sich daraus ergeben, sind aber unbezahlbar.