OWASP Top Ten 2017 (de)

Nächste Schritte für Organisationen

Languages: en [de]

Starten Sie jetzt Ihre Offensive zur Anwendungssicherheit!

Anwendungssicherheit ist nicht mehr länger optional. Organisationen müssen leistungsfähige Prozesse und Ressourcen zur Absicherung ihrer Anwendungen und APIs schaffen, um im Umfeld einer steigenden Zahl von Angriffen einerseits und regulatorischen Vorschriften andererseits bestehen zu können. Auf Grund der atemberaubenden Mengen an Code in zahlreichen Anwendungen und APIs haben viele Organisationen Probleme, mit dem enormen Umfang an Sicherheitslücken zurecht zu kommen. OWASP empfiehlt den Aufbau eines Programms zur Anwendungssicherheit, um einen Überblick über die Sicherheitslage ihrer Anwendungen und APIs zu erhalten und diese zu verbessern. Um das Sicherheitsniveau zu erhöhen, müssen viele Unternehmensbereiche effizient zusammenarbeiten, von Security und Audit über die Entwicklungsabteilung und das Business bis hin zum Management. Die Sicherheitsarchitektur muss transparent und messbar sein, damit alle Beteiligten die Ziele der Anwendungssicherheit im Unternehmen nachvollziehen zu können. Konzentrieren Sie sich auf die Aktivitäten und Resultate, die tatsächlich zur Unternehmenssicherheit beitragen, indem Sie Risiken eliminieren oder reduzieren. OWASP SAMM und der OWASP Application Security Guide for CISOs (altes Wiki) sind die Quellen für die meisten der Schlüsselaktivitäten in dieser Liste.

Start:

* Dokumentieren Sie alle Anwendungen und die zugehörigen Datenbestände. Größere Organisationen sollten die Einführung einer Configuration Management Database (CMDB) in Betracht ziehen.
* Führen Sie einen Anwendungssicherheits-Leitfaden ein und fördern Sie dessen Akzeptanz.
* Führen Sie eine Gap-Analyse der Fähigkeiten Ihrer Organisation zu vergleichbaren Organisationen durch, um wichtige Verbesserungsfelder und einen Maßnahmenplan festzulegen.
* Führen Sie mit Zustimmung der Geschäftsleitung eine Kampagne zur Sensibilisierung für Fragen der Anwendungssicherheit für Ihre gesamte IT-Organisation durch.

Risiko-basierter Ansatz:

* Identifizieren Sie den Schutzbedarf Ihrer Anwendungen aus geschäftlicher Sicht. Das sollte zum Teil durch Datenschutzgesetze und andere Vorschriften motiviert sein, die für die zu schützenden Datenbestände gelten.
* Erstellen Sie ein Risikobewertungsmodell mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Bereitschaft Ihrer Organisation berücksichtigt, Risiken einzugehen.
* Messen und priorisieren Sie dementsprechend alle Ihre Anwendungen und APIs. Fügen Sie die Ergebnisse in Ihre CMDB ein.
* Legen Sie Prüfungsrichtlinien fest, um einen angemessenen Abdeckungsgrad und den geforderten Reifegrad festzulegen.

Sorgen Sie für eine stabile Grundlage:

* Erstellen Sie Richtlinien und Standards für Anwendungssicherheit, die als Basis für alle betroffenen Entwicklungsteams dienen.
* Definieren Sie einen allgemeingültigen Basissatz wiederverwendbarer Sicherheitsmaßnahmen, die diese Richtlinien und Standards ergänzen und stellen Sie Nutzungshinweise für Design und Entwicklung bereit.
* Etablieren Sie einen Trainings-Plan für Anwendungssicherheit das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.

Integrieren Sie Sicherheit in Ihre bestehenden Prozesse:

* Legen Sie Ihre Aktivitäten bzgl. sicherer Implementierung und Verifikation fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese umfassen die Modellierung der Bedrohungen, sicheres Design und Design-Review, sichere Programmierung und Code-Review, Penetrationstestsund Mängelbeseitigung.
* Stellen Sie Experten und unterstützende Dienste bereit, die die Entwickler und die Projektteams bei der erfolgreichen Umsetzung unterstützen.

Sorgen Sie für Sichtbarkeit beim Management:

* Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Budget-Entscheidungen voran, die auf diesen Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheitspraktiken und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen, Fehlerdichte nach Art und Anzahl etc.
* Analysieren Sie Ihre Implementierungs- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran. Lernen Sie aus Fehlern und setzen Sie positive Anreize um Verbesserungen zu fördern.