Application Security Consulting
Während sich die Diskussionen über Cybersicherheit heute oft noch um Sicherheitslücken im Netzwerk und Malware drehen, bleibt einer der wichtigsten Aspekte im Schatten: die Applikationssicherheit. Dies ist ein oft vernachlässigter, aber wichtiger Aspekt, der über die digitale Resilienz von Unternehmen entscheiden kann. Denn die meisten Cyber Angriffe währen gar nicht erst möglich, wenn die angegriffene Software ohne Sicherheitslücken entwickelt worden wäre.
Es ist daher wichtig, Massnahmen einzuführen, um die Sicherheit von Software-Eigenentwicklungen nachhaltig zu steigern. So können vorhandene Lücken geschlossen und neue vermieden werden. Das ist der Ansatz, den Clue mit dem Application Security Consulting Service verfolgt.
Klassische Application Security Consulting Dienstleistungen am Markt wählen meist ein Vorgehen, welches mit einem Penetration Testing der Applikation beginnt. Dieses Vorgehen ist jedoch weder nachhaltig noch zielführend. Zwar liegt nach einem Penetration Test ein Schwachstellen-Report vor, die grundlegenden Ursachen, wieso Schwachstellen entstanden sind, werden jedoch nicht behoben. Eine Investition in eine nachhaltig sichere Applikationsentwicklung ist deshalb zielführender und kostengünstiger. Penetration Tests übersehen zudem vielfach eine signifikante Anzahl von Schwachstellen und zeigen deshalb ein verzerrtes Bild der Angriffsoberfläche auf. Im Rahmen eines Application Security Consulting Projektes mit Clue werden Schwachstellen und Design-Schwächen der Applikation ebenfalls aufgedeckt. Es wird jedoch gleichzeitig beleuchtet, wieso diese entstanden sind und wie sie in Zukunft verhindert werden können.
Nach einem einleitenden General Security Posture Assessment wird mit dem Kunden definiert, welche Module aus den Bereichen Application Security Analysis, Component Based Security Analysis oder Deep Application Security Analysis notwendig sind, um die definierten Ziele zu erreichen. Untenstehend befindet sich eine Beschreibung zu den von Clue angebotenen Modulen. Die aus den gewählten Modulen entstehenden Arbeiten werden anschliessend in regelmässigen Workshops gemeinsam durchgeführt. Die Projekt-Ergebnisse sind eine nachhaltige Verbesserung der Entwicklungsprozesse, eine nachweisliche Verbesserung der Sicherheit und eine signifikante Reduzierung der Kosten zum Beheben von Schwachstellen in Live-Systemen.
Warum Application Security Consulting?
- Unterstützung von Entwickler-Teams oder externen Softwarehäusern bei Umsetzung von Softwareprojekten
- Holistische Überprüfung von bereits entwickelter Software auf Sicherheit
- Kostenreduktion der Entwicklungsprozesse durch Effizienzsteigerung in der sicheren Produkteentwicklung
- Aufbau eines Secure Software Development Lifecycles (SSDLC) und dadurch messbare Verbesserung der Sicherheit
Das Application Security Consulting Concept
KICKOFF
General Security Posture Assessment
Um einschätzen zu können, welche Schritte bereits in Richtung sicherer Applikationsentwicklung unternommen wurden, wird zu Beginn ein Security Posture Assessment durchgeführt. In diesem wird einerseits abgeklärt, welche Phasen/Elemente eines SSDLC (Secure Software Development Life Cycle) bereits umgesetzt wurden und andererseits, welche Schutzmechanismen bei Betrieb der Applikation schon etabliert sind. Dieses Assessment wird auf Basis des etablierten Industriestandards OWASP SAMM durchgeführt.
MATURITY LEVEL OF SSDLC
PROTECTION MEASURES IN PLACE
APPLICATION SECURITY ANALYSIS
COMPONENT BASED SECURITY ANALYSIS
DEEP APPLICATION SECURITY ANALYSIS
BASE
Architecture Review
Im Architecture Review wird die Architektur der im Scope befindlichen Applikation / Komponente analysiert. Dies schafft eine Übersicht aller involvierten Komponenten und Abhängigkeiten.
Attack Surface Analysis
Nach Vorliegen des Architecture Review werden durch eine Attack Surface Analysis alle vorhandenen Angriffsvektoren der im Scope befindlichen Applikation / Komponente dokumentiert und einer Risikobewertung unterzogen.
Application Security verification on basis of owasp asvs
Entsprechend der Risikobewertung aus der Attack Surface Analysis werden alle Komponenten und ihre involvierten Angriffsvektoren einer standardisierten Applikationssicherheits-Verifikation unterzogen. Die Durchführung erfolgt auf Basis des OWASP ASVS (OWASP Application Security Verification Standard), der sich als branchenüblicher Standard etabliert hat. Der ASVS listet Anforderungen auf, welche eine Applikation erfüllen muss, um resilient vor Angriffen zu sein. Der Standard weist drei Maturitäts-Stufen auf. Die für die Analyse geeignete Stufe wird zusammen mit dem Kunden definiert.
general application security consulting
Während den Gesprächen und Workshops werden auch Themenbereiche zum Vorschein kommen, welche zu Beginn des Projekts nicht im zentralen Fokus standen, jedoch durch den Projektverlauf neu beurteilt wurden. Diese generellen Applikationssicherheits-Themen können in Workshops zusätzlich behandelt werden.
architecture review
Im Architecture Review wird die Architektur der im Scope befindlichen Applikation / Komponente analysiert. Dies schafft eine Übersicht aller involvierten Komponenten und Abhängigkeiten.
attack surface analysis
Nach Vorliegen des Architecture Review werden durch eine Attack Surface Analysis alle vorhandenen Angriffsvektoren der im Scope befindlichen Applikation / Komponente dokumentiert und einer Risikobewertung unterzogen.
data flow analysis
In der Data Flow Analysis wird die im Scope stehende Komponente einer Datenflussanalyse unterzogen. In dieser wird analysiert, wie umliegende Komponenten mit ihr kommunizieren und wie ihr Verhalten im Datenfluss ist. Dies können beispielsweise die Datenflussanalyse des FrontEnds mit einem API-Endpoint sein, oder die Maschinen-zu-Maschinen Kommunikation zweier Container. Die Analyse erlaubt ein genaues Bild über den Kommunikationsaufbau aller angebundener Komponenten. Daraus wird ein Diagramm erstellt, in welchem potenzielle Bedrohungen hypothetisiert aber auch Design Fehler der Business-Logik aufgedeckt werden können.
applications security verification on basis of owasp asvs
Entsprechend der Risikobewertung aus der Attack Surface Analysis werden alle Komponenten und ihre involvierten Angriffsvektoren einer standardisierten Applikationssicherheits-Verifikation unterzogen. Die Durchführung erfolgt auf Basis des OWASP ASVS (OWASP Application Security Verification Standard), der sich als branchenüblicher Standard etabliert hat. Der ASVS listet Anforderungen auf, welche eine Applikation erfüllen muss, um resilient vor Angriffen zu sein. Der Standard weist drei Maturitäts-Stufen auf. Die für die Analyse geeignete Stufe wird zusammen mit dem Kunden definiert.
general application security consulting
Während den Gesprächen und Workshops werden auch Themenbereiche zum Vorschein kommen, welche zu Beginn des Projekts nicht im zentralen Fokus standen, jedoch durch den Projektverlauf neu beurteilt wurden. Diese generellen Applikationssicherheits-Themen können in Workshops zusätzlich behandelt werden.
architecture review
Im Architecture Review wird die Architektur der im Scope befindlichen Applikation / Komponente analysiert. Dies schafft eine Übersicht aller involvierten Komponenten und Abhängigkeiten.
general application security consulting
Während den Gesprächen und Workshops werden auch Themenbereiche zum Vorschein kommen, welche zu Beginn des Projekts nicht im zentralen Fokus standen, jedoch durch den Projektverlauf neu beurteilt wurden. Diese generellen Applikationssicherheits-Themen können in Workshops zusätzlich behandelt werden.
OPTION
ssdlc development consulting
Im SSDLC (Secure Software Development Life Cycle) Development Consulting begleitet Clue Kunden dabei, Massnahmen, Prozesse und Werkzeuge zu entwickeln, welchen ihn dabei unterstützen, einen sicheren und nachhaltigen Applikationsentwicklungs-Prozess zu etablieren. Dieses Consulting wird auf Basis des etablierten Industriestandards OWASP SAMM durchgeführt.
basic penetration testing
Im Basic Penetration Testing werden die in der Komponente vorhandenen Angriffsvektoren einem ersten Penetration Test unterzogen. Dieser deckt Schwachstellen auf, welche durch Angreifer mit moderaten technischem Aufwand und Zeit erkennbar wären.
dynamic application security testing
Einige Schwachstellen, welche sich während der Laufzeit manifestieren, können durch entsprechende Werkzeuge in einem DAST Scanning gesucht und aufgedeckt werden.
ssdlc development consulting
Im SSDLC (Secure Software Development Life Cycle) Development Consulting begleitet Clue Kunden dabei, Massnahmen, Prozesse und Werkzeuge zu entwickeln, welchen ihn dabei unterstützen, einen sicheren und nachhaltigen Applikationsentwicklungs-Prozess zu etablieren. Dieses Consulting wird auf Basis des etablierten Industriestandards OWASP SAMM durchgeführt.
Static application security testing
Durch Static Application Security Testing wird der Source Code der zu analysierenden Komponenten durch entsprechende Werkzeuge auf Schwachstellen und Design-Schwächen untersucht.
security code review
Sowohl DAST wie auch SAST Scanning weisen keine vollständige Aufdeckungsraten potenziell vorhandener Schwachstellen auf. Einige Schwachstellenkategorien, besonders im Bereich der Business Logik, können nur über einen manuellen Security Code Review entdeckt werden. In diesem wird der involvierte Source Code manuell auf Schwachstellen oder Design-Schwächen untersucht
advanced application penetration testing
In einem Penetration Test wird die Applikation und alle involvierten Angriffsvektoren in Laufzeit über ein strukturiertes Verfahren manuell nach Schwachstellen hin untersucht. So können noch verbliebene Schwachstellen, welche in den vorgängigen Analysen unentdeckt blieben, aufgedeckt werden.
ssdlc development consulting
Im SSDLC (Secure Software Development Life Cycle) Development Consulting begleitet Clue Kunden dabei, Massnahmen, Prozesse und Werkzeuge zu entwickeln, welchen ihn dabei unterstützen, einen sicheren und nachhaltigen Applikationsentwicklungs-Prozess zu etablieren. Dieses Consulting wird auf Basis des etablierten Industriestandards OWASP SAMM durchgeführt.
Setzen Sie neue Standards in der Applikationssicherheit mit den massgeschneiderten Lösungen von Clue. Unsere Experten gehen über das übliche Penetration-Testing hinaus und bieten tiefgehende Analysen, um Schwachstellen an der Wurzel zu behandeln. Wir verbessern nicht nur Ihre Sicherheit, sondern optimieren auch Ihre Entwicklungsprozesse. Kontaktieren Sie uns für eine effiziente und nachhaltige Sicherheitslösung.