Noch vor knapp 19 Jahren (2003) identifizierten Antivirenexperten weniger als 2.700 verschiedene Würmer und Viren. Innerhalb eines Jahrzehnts stieg die Gesamtzahl der Malware-Varianten auf fast 183 Millionen und heute sind es mehr als 1,2 Milliarden. In ähnlicher Weise sind auch die Regelsätze von Web Application Firewalls (WAF) angewachsen.

Während es in der Vergangenheit ausreichte, für jede mögliche Bedrohung eine eigene Regel bzw. Signatur zu erstellen, ist diese Strategie heute zum Scheitern verurteilt. Cyberkriminelle sind genauso Entwickler wie eben die Developer von Tools zur Viren- und Cyber-Abwehr. Umso essentieller und effektiver ist es, vorausschauend zu denken und damit den Angreifern schon im Vorfeld den Wind aus den Segeln zu nehmen. Das gelingt mit den folgenden vier Fragestellungen.

1. Kann die Sicherheitslösung vor Angriffsabsichten schützen?

Heutzutage bauen Cyber-Hacker eine Entwicklungspipeline auf, die die IP-Adressen, Domänen und Codesignaturen ihres Angriffs in sehr kurzer Zeit automatisiert verändert – normalerweise in der Größenordnung von Tagen, aber oft auch schon innerhalb von Stunden. Angreifer können beispielsweise automatisierte Techniken, wie die Generierung von Domänennamen einsetzen, um die Herkunft eines Angriffs schnell zu verändern. Oder sie könnten die Verteilung schädlicher Inhalte über eine Vielzahl von IP-Adressen durchführen, um Blocklisten zu umgehen. Der Einsatz herkömmlicher Signatur-basierter Tools für die Abwehr dieser Art von Angriffen funktioniert hier nur noch bedingt.

Signatur-basierte Tools scheitern außerdem, wenn die Indikatoren für eine Kompromittierung nicht eindeutig sind. Sie haben Schwierigkeiten dabei, gefährlichen und seriösen Traffic voneinander zu unterscheiden und können mit der unaufhaltsamen Zunahme von Bedrohungen schlichtweg nicht mehr Schritt halten. Dies führt dann häufig entweder zu Fehlalarmen oder dazu, dass Angriffe komplett übersehen werden.

Die Frage der IT-Experten sollte also nicht länger lauten: Kann uns dieses Tool gegen diese spezielle Bedrohung schützen? Stattdessen sollte der Fokus darauf gelegt werden, Angriffen mindestens einen Schritt voraus zu sein. Aus diesem Grund sollte die eigentliche Frage bei der Evaluierung einer neuen Lösung lauten: Kann sie uns bereits vor einer Angriffsabsicht schützen?

Dafür muss eine genaue Analyse des Traffics im Netzwerk möglich sein. Faktoren wie die Frequenz der Anfragen, die Tageszeit und der Anmeldestatus eines Nutzers müssen bei der Entwicklung von Sicherheits-Tools mit einbezogen werden. Außerdem darf der Einsatz der Sicherheitslösung nicht im Überwachungsmodus, sondern muss ganzheitlich im Blocking-Modus erfolgen. Moderne Cloud- und SaaS-Lösungen können Security-Abteilungen in dieser Hinsicht unterstützen. Denn das Cloud-Modell verbessert nicht nur Skalierbarkeit und Flexibilität, sondern ermöglicht außerdem die Bündelung von Wissen – ein Sicherheitsdienst in der Cloud kann Ihrem Sicherheitsteam das gesammelte Wissen vieler anderer Kunden zur Verfügung stellen.

Aber damit nicht genug. Die nächste Frage sollte lauten:

2. Gehen Sicherheit und Nutzerfreundlichkeit Hand in Hand?

Ein Sicherheits-Tool ist nur dann effektiv, wenn der Anwender es versteht und somit richtig einsetzt. Obwohl die meisten SaaS-basierten Tools inzwischen nutzerfreundlich und intuitiv gestaltet sind, sieht die Realität bei Sicherheitslösungen leider immer noch anders aus. Oft brauchen die Sicherheitsteams eines Unternehmens einen Experten, der sie in die Sicherheitsanwendung einweist. Das ist zeitaufwendig und kann im Ernstfall dazu führen, dass ein Angreifer die Oberhand gewinnt.

Dabei beginnt die mangelnde Nutzerfreundlichkeit oft schon beim User Interface. In vielen Fällen müssen sich Sicherheitsteams auf mehreren User Interfaces anmelden – und das kann selbst dann nötig sein, wenn sie Lösungen desselben Anbieters verwenden. Ein gutes User Interface sollte einen übersichtlichen Einblick in die momentane Gefahrenlage liefern, Trends aufzeigen und es dem Nutzer ermöglichen ohne großen Aufwand, die dazu passenden Informationen auszuwerten.

Moderne Sicherheitslösungen sollten also folgende Kriterien erfüllen, um von Ihren Teams optimal genutzt zu werden:

• Sie sollten über eine einzige, intuitive und nutzerfreundliche Oberfläche verfügen, die die Kontrolle und Sichtbarkeit der gesamten Lösung ermöglicht.

• Die Überwachungsfunktion sollte ganzheitlich und in andere Tools integriert sein, um einen vollständigen Einblick in den Zustand des gesamten Systems zu erhalten.

• Die Nutzerfreundlichkeit sollte derart gegeben sein, dass selbst Führungskräfte, Entwickler und Analysten in die Überwachung des Sicherheitsstatus mit einbezogen werden können.

Kommt es zu einem Angriff, ist die folgende Fragestellung wichtig:

3. Ist die Lösung in der Lage, bei Angriffen in Echtzeit zu reagieren?

Angreifer sind ebenfalls Entwickler. Sie sind genauso agil wie die Developer, die versuchen, ihre Angriffe abzuwehren. Angreifer nutzen fortschrittliche DevOps-Workflows, um in kurzer Zeit neue Methoden zu testen, anzupassen und auszuführen. Wie können Sicherheitsteams also in Echtzeit reagieren? Ihre Sicherheitslösungen müssen einen hohen Grad an Geschwindigkeit, Transparenz und Kontrolle mit sich bringen.

Geschwindigkeit: Bei einem Angriff müssen Sicherheitsteams bzw. die Sicherheitslösung sofort reagieren. Es bedarf hier einer Erkennung des Angriffs in Echtzeit. Dies funktioniert nur mit einer spezifischen Bedrohungsanalyse, die entweder automatisch reagiert oder es den Security- Mitarbeitern erlaubt, blitzschnell zu handeln, wenn ein Alarm menschliches Eingreifen notwendig macht.

Transparenz und Kontrolle: Neben der Echtzeiterkennung von Attacken ist es ebenso wichtig zu verstehen, warum bestimmter Traffic blockiert wird. Außerdem müssen Mitarbeiter in der Lage sein, diese Regeln und Signale entsprechend der Bedürfnisse des Unternehmens agil ändern zu können. Deshalb sollten Kontrolle und Transparenz Hand in Hand gehen.

Aus diesem Grund ist auch der letzte Punkt entscheidend:

4. Denken alle Mitarbeiter die für Development, Sicherheit und Operations zuständig sind, wie Entwickler?

Zusammenarbeit ist die Wunderwaffe. Wenn Entwickler, die Sicherheitsabteilung und Operations kooperieren, führt das zum Erfolg. Doch oft verwenden Unternehmen veraltete Tools und Praktiken, die hier ausbremsen und die Zusammenarbeit zwischen Teams behindern. Teamwork wird erst dann so effizient wie möglich, wenn die Lösung in ein bestehendes DevOps-Modell integriert werden kann.

Um eine echte DevSecOps Denkweise anzunehmen und sich so auf die Bereitstellung sicherer Software zu fokussieren, muss jede und jeder wie ein Ingenieur denken. Konkret bedeutet das, dass Entwickler Code unter Verwendung sicherer Entwicklungspraktiken und automatisierter CI/ CD-Pipelines schreiben müssen, die nicht nur auf Funktionalität, sondern auch auf allgemeine Sicherheitslücken testen.

Fazit

Die vier Fragestellungen und ihre Antworten zeigen: Application-Security-Lösungen müssen den Bedürfnissen moderner DevSecOps-Teams gerecht werden, um Bedrohungen immer einen Schritt voraus zu sein. Die Angreifer von heute sind mehr als nur simple Hacker. Sie sind auch Entwickler, die für das Erreichen ihrer Ziele mit agilen Methoden arbeiten. Einfach eine herkömmliche WAF bereitzustellen, reicht heutzutage nicht mehr aus. Stattdessen braucht es für den effektiven Schutz von Web-Apps und APIs Lösungen, die Bedrohungen auf moderne Weise erkennen. Diese müssen so gestaltet sein, dass Teams sie aufgrund ihrer Geschwindigkeit, Kontrolle, Transparenz und Integrationsmöglichkeiten auch tatsächlich nutzen wollen.