Risiko Mitarbeiter – 10 Tipps für mehr Datensicherheit

Tipp 9 – Web Application Security konsequent umsetzen und kontrollieren

12.02.2010 | Autor / Redakteur: Brian Contos / Stephan Augsten

Einfallstor: Datensicherheit hängt immer mehr vom umfassenden Schutz der Webanwendungen ab.

Die meisten Datenzugriffe finden mittlerweile über Webanwendungen statt. Es genügt also nicht mehr, Sicherheitsmaßnahmen nur auf Datenbank-Ebene zu ergreifen – man muss auch jede einzelne Web Application schützen. Dies verlangt nach einem zweigleisigen Ansatz, der Entwicklung und Qualitätskontrolle ebenso berücksichtigt wie den produktiven Einsatz.

Entwicklung und Qualitätskontrolle (QA, Quality Assessment): Man kann die Sicherheit einer Web Application erhöhen, noch bevor diese zum Einsatz kommt. So sollten die Anwendungsentwickler mit Best Practices zur sicheren Programmierung vertraut sein. Darüber hinaus empfiehlt sich die Einführung eines sicheren Software Development Lifecycle (SDLC).

Nach der Entwicklung sollte die Software getestet und anylsiert werden, hierfür gibt es etliche Methoden, unter anderem.

  • Statische Code-Analyse: Hierbei wird der Quellcode per Durchsicht auf mögliche Fehler geprüft.
  • Dynamische Code-Analyse: Die Software wird ausgeführt, wodurch man beispielsweise Verarbeitungfehler erkennt.
  • Risikoanalyse der Software-Architektur
  • Fallanalyse: Wie reagiert die Anwendung beispielsweise auf unvorhergesehene Eingaben.
  • Black-Box-Test: Funktionsorientierter Test ohne Kenntnis über die innere Funktionsweise.
  • White-Box-Test: Software-Test mit Kenntnissen über den Quellcode.

Viele Unternehmen vertrauen während der Entwicklungs- und Qualitätssicherungsprozesse auf eine Web Application Firewall (WAF). Dabei wird nicht die Block-Funktion der Firewall genutzt, sondern ihre Monitoring-Möglichkeiten. Die Entwickler erhalten einen Einblick in die Arbeitsweise ihrer Software, was insbesondere im Rahmen von Beta-Tests etliche Vorteile birgt:

  • Einsicht in den Traffic per http- und https-Protokoll,
  • Überblick darüber, wie Kunden die Web-Anwendung nutzen und wie die Anwendung arbeitet,
  • einen Vergleich zwischen erwartetem und tatsächlichem Anwender-Verhalten,
  • detaillierte Informationen über verwendete Eingabeparameter (wie Länge und Typ),
  • eine Performance-Kontrolle für Webverbindungen sowie
  • Einsicht in die Datenbankaktivitäten (unter Zuhilfenahme des Database Activity Monitoring oder einer Datenbank-Firewall).

Software im Geschäftsbetrieb: Man kann noch so sicher programmieren, noch so umfangreich testen oder sich an Best Practices orientieren: ein Code ist niemals perfekt oder hundertprozentig sicher, da sich die Bedingungen und Gefahren im Internet stetig verändern. Web Application Security beinhaltet einen stetigen Verbesserungsprozess auch im Produktiveinsatz.

Web Application Firewalls bieten eine Reihe von Vorteilen, angefangen beim Blocken bösartiger Aktivitäten über Monitoring und Alerting bis hin zur Berichterstattung (Reporting). Darüber hinaus bringen sie Schwachstellen-Management-Funktionen mit. Analog zu Database Firewalls kann man mit einer WAF die Webanwendung virtuell patchen, bevor man eine Sicherheitslücke aktiv schließt.

Folgende Vorteile gehen mit WAFs einher:

  • Arbeitsweise unabhängig von Anwendungs-Arten und -Versionen
  • Potentiell bösartige Ereignisse werden aktiv gemeldet und geblockt
  • Intrusion Detection (Einbruchserkennung)
  • Unterstützung beim Schwachstellenmanagement (Application Hardening)
  • Mehrschichtige Verteidigung gegen Anwendungs-Risiken (Defense-in-depth)
  • Automatisierte Ereignisprotokollierung

Nur wer seine Web-Anwendungen umfassend absichert, kann kritische Datenbanken und die darin enthaltenen Informationen effektiv schützen. Sichere Anwendungsentwicklung und umfassende Software-Tests versprechen eine gute Grundsicherheit, entsprechende Mechanismen müssen aber über den ganzen Software-Lebenszyklus greifen. Eine Web Application Firewall kann selbst bei unerwartenen Ereignissen präventiv eingreifen.

Brian Contos ist Chief Security Strategist bei Imperva.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)



Spamschutz 

Bitte geben Sie das Resultat dieser Rechenaufgabe (Addition) ein:
Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043353)