Anwendungssicherheit in der API-First-Ära neu denken

  • Die Sicherung von Anwendungen in der API-First-Ära kann ein harter Kampf sein. Während sich die Entwicklung beschleunigt, wird die Verantwortlichkeit unklar und die Durchführung von Kontrollen wird zu einer Herausforderung an sich. Es ist an der Zeit, dass wir unsere Anwendungssicherheitsstrategien überdenken, um neue Prioritäten, Prinzipien und Prozesse in der API-first-Ära zu berücksichtigen. Die Sicherung der Anwendungen von morgen beginnt mit der Bewertung der Geschäftsrisiken von heute.

    Die Trends und Risiken, die die Anwendungen von heute prägen

    Da die Welt immer mehr über Geräte – und die APIs, die diese miteinander verbinden – vernetzt wird, gewöhnen sich die Menschen an die reibungslose Erfahrung, die sie bieten. Während diese reibungslose Realität zweifellos benutzerfreundlicher, d. h. schneller und bequemer ist, erfordert sie auch einen Kompromiss. Dieser Komfort erfordert Offenheit, und Offenheit ist ein Risiko, wenn es um Cybersicherheit geht.

    Laut Sidney Gottesman, SVP für Security Innovation bei Mastercard, führt die oben beschriebene Situation zu einem der größten Trends, der die Sicherheitslage für die heutigen Anwendungen prägt: Eine Vertrauenskrise zwischen Individuen und den Anwendungen, die sie nutzen.

    Ein zweiter großer Trend ist der der Lieferkette. Es reicht nicht mehr aus, sich nur um die eigenen Risiken zu kümmern, da Angriffe zunehmend über Komponenten von Drittanbietern in interne Systeme eindringen. Bei digitalen Produkten und sogar bei vernetzten Hardwareprodukten bestehen die Lieferketten jetzt aus verschiedenen Diensten, die über APIs im Endprodukt gebündelt werden, wodurch eine neue Art von Integrationsrisiko entsteht, das in der Lieferkette verwurzelt ist.

    [Blocked Image: https://thehackernews.com/images/-AJaul_sPxbQ/YNdU0r2zoFI/AAAAAAAABEk/4nknVqINjNwUI1EsW_ePq3-u-9uOl6weACLcBGAsYHQ/s0/cyber-1.jpg]

    Wenn die jüngsten Angriffe auf Colonial Pipeline und JBS auf etwas hinweisen, dann darauf, dass ein weiterer wichtiger Trend die Fülle an böswilligen Akteuren ist, sowohl auf individueller als auch auf staatlicher Ebene. Unternehmen müssen jetzt davon ausgehen, dass sie eher früher als später angegriffen werden und müssen darauf vorbereitet sein.

    Die Fülle an Daten kann nicht ignoriert werden. Unternehmen speichern, verwalten und ermöglichen den Zugriff auf so viele Daten, dass die Anwendungsschicht (und APIs) für Angreifer immer attraktiver wird. Zunehmende Vorschriften zur Verbesserung der Sicherheitslage öffentlicher und privater Unternehmen nehmen ebenfalls einen besonderen Platz in der Landschaft der Sicherheitstrends ein.

    Anwendungssicherheit ist nicht mehr das, was sie einmal war

    80 % der Unternehmen erlauben derzeit den externen Zugriff auf Daten und Funktionen über APIs. Dies geht aus einer kürzlich veröffentlichten Branchenumfrage von Imvision hervor, die den aktuellen Stand der API-Nutzung und -Einführung bei führenden Unternehmen untersucht. Die Ergebnisse stehen im Einklang mit anderen Untersuchungen zu diesem Thema und kommen zu dem Schluss, dass Unternehmen viel offener sind als noch vor ein paar Jahren – Tendenz steigend.

    Das bedeutet aber auch, dass die Anwendungssicherheit ihren “Türsteher”-Status mit der Frage “Wer darf rein?” hinter sich gelassen hat. Heutzutage sollte die Anwendungssicherheit davon ausgehen, dass die Benutzer bereits in der Anwendung sind, und sich auf die Frage konzentrieren: “Was dürfen sie tun?”, “Was ist die erwartete Nutzung?” und “Wie stoppen wir unerwünschtes Verhalten?”.

    [Blocked Image: https://thehackernews.com/images/-W_0S1xigh8M/YNdVAqQDAMI/AAAAAAAABEo/GB32stA0XEggUJk7eQ-HuImUU16o1e1qgCLcBGAsYHQ/s0/cyber-2.jpg]

    Laut Rob Cuddy, Global Application Security Evangelist bei HCL, müssen Unternehmen ihren Ansatz für die Anwendungssicherheit grundlegend ändern, da es im Zeitalter von APIs einfach keinen Sinn mehr macht, den Anwendungsperimeter vor externen Eindringlingen zu schützen.

    Der Aufbau von Sicherheitsschichten um die Anwendung herum wird nicht funktionieren, wenn die Anwendung über APIs offengelegt wird. Stattdessen ist ein neuer Inside-Out-Ansatz erforderlich. Dieser neue Ansatz geht davon aus, dass die Anwendung in den Dienst des Benutzers eindringt, setzt aber Schutzmechanismen für den Fall ein, dass der Akteur böswillig ist.

    Erfahren Sie mehr darüber, wie Sicherheitsexperten die Anwendungssicherheit neu überdenken

    Wenn Sie Entwickler fragen würden, würden sie Ihnen sagen, dass Sicherheit schon immer da war, aber jetzt ist sie entscheidend geworden. Es geht jedoch nicht darum, neue Tools oder Automatisierungen hinzuzufügen, sondern vielmehr darum, einen grundlegenden Wandel bei Menschen, Prozessen und Kultur vorzunehmen.

    Im Rennen um superschnelle agile Lieferungen verfolgen viele Unternehmen einen DevSecOps-Ansatz, der die Integration von Sicherheitspraktiken in den Entwicklungslebenszyklus vorschreibt. Aber während viele darüber reden, tun nur etwa die Hälfte tatsächlich etwas dafür – das heißt, sie haben tatsächlich einen vollständigen Lebenszyklus für API-Sicherheit eingerichtet.

    Die Verwaltung der Sicherheit in unterschiedlichen Teams ist keine leichte Aufgabe

    Bei Allegiant Airlines leitet der Chief Information Security Officer Rob Hornbuckle eine interessante Initiative zur Verbesserung des Bewusstseins, der Sichtbarkeit und der Zusammenarbeit über Teams und den Entwicklungslebenszyklus hinweg.

    Um ihre kundenorientierten Anwendungen zu entwickeln und zu warten, haben sie zu jeder Zeit 10 persistente Entwicklungsteams. Die Orchestrierung der Sicherheit zwischen den verschiedenen Teams ist jedoch kein Spaziergang. Es erfordert ein hohes Maß an Transparenz und einen Kulturwandel, der Initiative und Verantwortungsübernahme fördert.

    Um die Sicherheit in den Vordergrund zu stellen, wurde ein Security-Champion-Programm eingeführt, das zwei Personen in jedem Team mit der Verantwortung für die Gewährleistung bestimmter Sicherheitsstandards während der Entwicklung betraut. Diese Champions helfen dem Rest des Teams, Wissen und Kommunikation im gesamten System voranzutreiben.

    Dieses Programm ermöglicht einen Einblick in die Anwendungssicherheit auf Organisationsebene durch monatliche Meetings, die sich auf alles konzentrieren, was mit der Sicherheit innerhalb der verschiedenen Anwendungsprogrammiergruppen geschieht. Diese Meetings ermöglichen es der Organisation, Metriken über den Gesamtzustand der Sicherheit bereitzustellen, der von den verschiedenen Teams im Laufe der Zeit erreicht wurde, um die Zustimmung von Führungskräften und Vorstandsmitgliedern zu gewinnen.

    Sichtbarkeit, oder: “In der Lage sein, zu erkennen, was zuerst behoben werden muss”

    Da viele Unternehmen Dutzende, wenn nicht gar Hunderte oder mehr, verschiedene Sicherheitstools für unterschiedliche Systeme einsetzen, stehen CISOs vor der Herausforderung, zu verstehen, was von entscheidender Bedeutung ist, damit sie Schwachstellen effektiv priorisieren können, um das Risiko zu mindern.

    Aber nur weil ein Server ungepatcht ist, bedeutet das nicht unbedingt, dass er ein echtes Geschäftsrisiko darstellt. Erforderlich ist nicht nur ein Überblick über die Schwachstellen, sondern auch über die Gefährdung, die von ihnen ausgeht, sowie über die potenziellen Auswirkungen auf das Geschäft im Falle eines Verstoßes.

    Um das Geschäftsrisiko wirklich mit einer Schwachstelle in Verbindung bringen zu können, benötigt die Geschäftsleitung nach Ansicht von Rob Hornbuckle sowohl ein solides Verständnis der Anwendungsprogrammierung als auch ein hervorragendes Wissen über das Innenleben des Geschäftsmodells eines Unternehmens. Dies ermöglicht es ihnen, die Prioritäten bei der Schadensbegrenzung entsprechend der tatsächlichen geschäftlichen Auswirkungen einer potenziellen Sicherheitsverletzung auf ihr einzigartiges Geschäftsmodell zu setzen.

    Selbst wenn eine bestimmte Schwachstelle in der Lage war, den Betrieb von Colonial Pipeline zu stören, bedeutet das nicht, dass dieselbe Schwachstelle ein Risiko für das Ergebnis eines anderen Unternehmens darstellt, insbesondere wenn dessen Geschäftsmodell anders ist. Die wichtigsten zu schützenden Werte sind die Dienste und Anwendungen, die kritische Geschäftsfunktionen darstellen.

    Entwickeln einer Sicht auf Anwendungsrisiken im Rahmen des Enterprise Risk Management

    Die Organisation um die Sicherheit zu versammeln, ist keine leichte Aufgabe, besonders wenn ihr Beitrag – so wertvoll und wichtig er auch sein mag – oft zu Verzögerungen führt und den gestressten Entwicklungsteams zusätzliche Arbeit aufbürdet. Die Sicherstellung, dass alle Ebenen der Organisation die Bedeutung des Sicherheitsteams verstehen, ist ein entscheidender Schritt bei der Implementierung sicherer Entwicklungsprozesse.

    Bei BNP Paribas weist Sandip Wadje, Global Head of Technology Risk Intelligence, darauf hin, dass es für das Unternehmen von entscheidender Bedeutung ist, zu verstehen, wie groß die internen und externen Angriffsflächen sind und welche kritischen Geschäftsfunktionen genau gefährdet sind.

    Der erste Schritt ist die Erkennung – zu wissen, was man hat, wie es verwendet wird und warum es existiert. Während dieser Schritt recht einfach ist, sollten Unternehmen im zweiten Schritt, der Governance, versuchen zu verstehen, welche Schritte sie in Bezug auf die Anwendungsentwicklung, Wartung und laufende Überwachung unternehmen. Unternehmen müssen sicherstellen, dass sie entweder ein zentralisiertes Governance-Komitee oder ein Technologie-Risiko-Team einer Drittpartei haben, um die internen Sicherheitsmaßnahmen des Unternehmens zu überwachen.

    Die dritte Stufe ist die der Gewährleistung der laufenden Sicherheitsmaßnahmen. Eine fortlaufende Sicherheitsüberwachung, die kontinuierlich neue Schwachstellen analysiert, sobald sie entdeckt werden, reduziert die Risiken erheblich, da ausgenutzte Schwachstellen oft solche sind, die dem Unternehmen nicht bekannt waren.

    Schließlich ist die Widerstandsfähigkeit eine weitere wichtige Fähigkeit, die es zu entwickeln gilt. Die Einrichtung konkreter Verfahren für die Reaktion auf Vorfälle und die Verringerung der Gefährdung ist für den Fall, dass Schwachstellen ausgenutzt wurden, unerlässlich. Da viele Unternehmen bereits verschiedene Sicherheitslösungen einsetzen, ist die Sicherstellung des effektiven Einsatzes dieser Lösungen zum Schutz kritischer Geschäftsanwendungen entscheidend.

    Erfahren Sie mehr darüber, wie Sie Ihr Sicherheitsteam zu einer Notwendigkeit in der API-first-Ära machen.

    Nehmen Sie dieses Beispiel: Bei BNP Paribas erstellte das Sicherheitsteam eine Blaupause verschiedener Anwendungen, um zu verstehen, wie sich der Übergang zur Cloud auf jede einzelne auswirkt. Diese Blaupause wird von der Geschäftsleitung verwendet, um einen Überblick über die verschiedenen Workloads zu erhalten, die sicher in die Cloud migriert werden könnten.

    Anschließend schufen sie eine Governance darum herum, sowohl auf der Ebene der Unternehmensgruppe, die sich auf die Strategie konzentrierte, als auch auf der operativen Ebene, die sich auf die Gewährleistung der laufenden Überwachung konzentrierte. Der nächste Schritt war die Gründung eines API-Steuerungsausschusses, um die Dienste hinsichtlich ihrer Fähigkeit zur Monetarisierung von Daten zu priorisieren. Schließlich richteten sie ein Risikomanagementprogramm für Drittanbieter ein und bezogen wichtige interne Stakeholder ein, um ihre Strategie für die Anwendungssicherheit zu entwickeln.

    Die überraschende Kehrseite der Sicherheitsvorschriften

    Ähnlich wie Einzelpersonen haben auch Teams einen Ruf. Für Sicherheitsteams ist es sehr wichtig, dass sie im Laufe der Zeit nicht als lästiges Übel angesehen werden, das einer schnellen Lieferung im Wege steht, sondern vielmehr als ein Faktor, der das Geschäft fördert. Hier können Vorschriften einen großen Beitrag dazu leisten, dass dies nicht der Fall ist.

    Indem der Start neuer Initiativen von der Einhaltung von Sicherheits-, Schutz- und Compliance-Maßnahmen abhängig gemacht wird, werden Sicherheitsteams zu einer Notwendigkeit. Sobald Sicherheitsteams klare Grenzen zwischen Vorschriften, den von ihnen entdeckten Schwachstellen und den geschäftlichen Auswirkungen ziehen, werden Entwicklungsteams sie nicht mehr als lästig empfinden.

    [Blocked Image: https://thehackernews.com/images/-_SzPLTeBkNw/YNdUjNNb1hI/AAAAAAAABEc/oVDvgmCDfrAUWGhWB5itS1ZUEjJdJTbKgCLcBGAsYHQ/s0/cyber.jpg]

    Damit wird Sicherheit zu einem strategischen Business Enabler und sogar zu einem Wettbewerbsdifferenzierungsmerkmal.

    Bei Mastercard zum Beispiel, unter der Führung eines CEOs, der sich von Anfang an auf Sicherheit konzentriert hat, ist das Sicherheitsteam des Unternehmens das Herzstück des Geschäftsmodells und bietet Sicherheitsdienste für alle Kunden und das gesamte Ökosystem an.

    Zusammenfassung

    In der API-Ära müssen Unternehmen ihre Sicherheitslage neu überdenken. Trends wie die Vertrauenskrise, die Vernetzung der Lieferkette, Regulierungen und die zunehmende Anzahl böswilliger Akteure diktieren den Wechsel zu einem Inside-Out-Ansatz in Bezug auf die Cybersicherheit.

    Da immer mehr Unternehmen ihren Nutzern den Zugriff auf Daten und Funktionen über APIs ermöglichen, muss sich die Sicherheitsperspektive von der Beschränkung des Zugriffs hin zu besseren Kontrollen und Berechtigungen ändern.

    Um damit anzufangen, müssen Unternehmen zunächst eine klare Sicht auf Schwachstellen und die Möglichkeit zur Priorisierung nach geschäftlichen Auswirkungen sicherstellen. Außerdem muss sichergestellt werden, dass die gesamte Organisation die Bedrohungen und Risiken für ihre kritischen Geschäftsprozesse versteht.

    Die Etablierung formaler Prozesse, einschließlich Erkennung, Sicherung, laufender Überwachung und Ausfallsicherheit, und schließlich die Änderung der Sichtweise von Sicherheitsteams von einem Ärgernis zu einer Notwendigkeit ist entscheidend für die Auslieferung sicherer Produkte.

    *** Dieser Artikel basiert auf der ersten Sitzung des Executive Education Programms von Imvision.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com