Application Security
Application Security ist die allgemeine Praxis, Schutz-Massnahmen bei der Software Entwicklung oder im Betrieb einer Applikation hinzuzufügen, um eine Reihe an unterschiedlicher Bedrohungen zu verhindern. Dazu gehören z.B. Denial-of-Service Angriffe, Datendiebstähle, Nicht-autorisierte Manipulationen und andere Cyberangriffe.
Die Relevanz von Sicherheit und Datenschutz ist in der IT unbestritten. Dennoch testet nur jedes zehnte Unternehmen alle geschäftskritischen Anwendungen auf Sicherheitsrisiken. Laut Gartner Research umfasst die Anwendungsebene derzeit 90 % aller Schwachstellen. Bei Mobile Apps geht man sogar davon aus, dass 75% aller Apps einen einfachen Sicherheitstest nicht bestehen würden. Damit ist die Studie nicht allein, auch andere Organisationen bestätigen diese Aussagen. Gemäß NIST sind 92% der rapportierten Schwachstellen heute auf der Applikationsebene zu finden. Obwohl die meisten Schwachstellen auf der Applikations-Ebene zu finden sind, wird im Vergleich auf den anderen Netzwerkschichten bis zu 23 mal mehr investiert als das Problem an der Wurzel zu packen.
Dabei gibt es heute intelligente Ansätze, um mögliche Schwachstellen auf der Applikations-Ebene schon im Vorfeld proaktiv zu erkennen und zu beseitigten, statt die Applikationen von allen möglichen Szenarien z.B. über intelligente Firewalls zu schützen. Die folgende Illustration zeigt mögliche Ansätze auf, welche sich in "proaktive" und "reaktive" Aktivitäten einteilen lassen.
Im Falle der Softwareentwicklung bzw. wenn man der Besitzer einer Applikation ist, empfiehlt es sich so früh wie möglich mit der Einführung von Massnahmen zu beginnen. Hier setzen wir auf statisches Source Code Scanning oder Dynamisches Security Scanning in Zusammenarbeit mit einer Vulnerability & Patch Management Lösung welches sich auch vollständig automatisieren lassen.
SwissConomy bietet verschiedene Lösungen und Dienstleistungen an, um Application Security einzuführen bzw. den gewünschten Assurance Level schrittweise erreichen zu können. So empfehlen wir kommerzielle Produkte oder aber auch den Ansatz mit Opensource Lösungen zu verfolgen. Ebenfalls lassen sich die Lösungen jeweils als On-Premise, wie auch als Cloud Variante (SaaS) nutzen.
Unser Leistungsangebot im Bereich Application Security umfasst:
- Allgemeine Beratung um das Thema IT Security und Schutz bei Applikationen
- Ausarbeitung von Konzepten und Implementationen, um die Applikations-Sicherheit zu erhöhen
- Einführung von Application Security Testing in Ihre SDLC / Entwicklungsprozesse
- Application Security Testing (SAST oder DAST) als Managed Service oder als einmaliger Auftrag
- Risk Reviews und Impact Analysen
- Review der Remedierungen
- Schulung der Entwickler und Tester
Haben wir Ihr Interesse geweckt? So zögern Sie nicht mit unseren Experten einen Termin zu vereinbaren, wo wir Ihnen unsere Ansätze und Lösungen bzgl. Application Security genauer vorstellen können.