SECURITY23. April 2020

„Sicherheitsverschuldung“: Dramatischer Anstieg – 117 Tage, bis eine Schwachstelle behoben wird

Warnt vor der Sicherheitsverschuldung; Julian Totzek-Hallhuber, Solution Architekt, Veracode
Julian Totzek-Hallhuber, Solution Architekt, VeracodeVeracode

Sicherheitsdefizite in Unternehmen können sich ähnlich wie Schulden, die nicht getilgt werden, über die Jahre akkumulieren und zu gefährlichen Altlasten werden. Der zehnte State of Software Security Report von Veracode untersucht diese Sicherheitsverschuldung und legt dabei auch einen besonderen Fokus auf den Finanzsektor.

von Julian Totzek-Hallhuber, Solution Architect Veracode

Insgesamt wurden für den Report (Download)  85.000 Anwendungen von über 2.300 Unternehmen untersucht. Über alle Branchen hinweg zeigt sich, dass 83 Prozent der getesteten Apps mindestens einen Fehler aufweisen. Die häufigsten Fehler machen Informationslecks (64 Prozent), kryptografische Probleme (62 Prozent) und CRLF-Injektion (61 Prozent) aus. Zwar werden mit 56 Prozent über die Hälfte der neuen Schwachstellen behoben, doch scheint das zu einer Vernachlässigung älterer Probleme zu führen. Eben dieser Stau schlägt sich dann in der Sicherheitsverschuldung nieder.

Entwicklungsteams brauchen heute durchschnittlich 117 Tage, um Schwachstellen zu beheben. 2009 lag dieser Wert noch bei 59 Tagen.“

Über Veracode
Veracode (Website) stellt eine cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit helfe das Unternehmen, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen, so Veracode. Die Plattform reduziere Risiken auf der Anwendungsebene.
Während sich der Durchschnitt fast verdoppelt hat, ist der Median dennoch bei 59 Tagen verblieben. Das legt nahe, dass einige besonders gravierende Probleme, die sehr viel Zeit in Anspruch nehmen, den Durchschnitt nach oben treiben, während die meisten Fehler sehr schnell behoben werden. Das wiederum liegt vermutlich an der immer weiter zunehmenden Komplexität moderner Anwendungen. In diesen langen Zeiträumen liegt auch ein Grund dafür, dass sich die Sicherheitsverschuldung über die Zeit anstaut.

Der Finanzsektor im Vergleich

Auch im Finanzbereich sind die häufigsten Fehlerquellen Informationslecks (66 Prozent) und kryptografische Probleme (61 Prozent), mit nur marginalen Verschiebungen gegenüber dem Durchschnitt aus allen Branchen (64, bzw. 62 Prozent). Etwa ein Drittel der untersuchten Finanz-Apps weist schwerwiegende Fehler auf. Damit liegt der Finanzsektor auf dem dritten Platz von sieben untersuchten Branchen. Bei der Fix-Rate schafft es die Sparte mit 76 Prozent auf den ersten Platz. Allerdings dauert die Fehlerbehebung dort vergleichsweise lange, mit 67 Tagen im Median liegen die Finanzen hier auf dem vorletzten Platz. Auch bei der Anzahl an ungefixten Fehlern pro Anwendung schneidet der Finanzsektor mit 182 relativ schlecht ab, beim Spitzenreiter Infrastructure sind es mit 97 nur etwa halb so viele.

DevSecOps hilft bei Schuldenabbau und -Vermeidung

Autor Julian Totzek-Hallhuber, Veracode
Julian Totzek-Hallhuber ist Solution Architect bei Veracode. Als Spezialist für Anwendungssicherheit mit mehr als 15 Jahren Erfahrung im IT-Sicherheitsumfeld verfügt er über Expertise in den Bereichen Anwendungsentwicklung, Penetrationstests sowie Sicherheit von Webanwendungen. Zudem ist er Autor zahlreicher Artikel, regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org mitgewirkt.
Als Maßnahme gegen eine entstehende Sicherheitsverschuldung empfehlen sich regelmäßiges Testen und Fehlerpriorisierung. Bisher werden etwa 80 Prozent aller Anwendungen zwölf Mal pro Jahr oder seltener gescannt. Dieses Verhältnis herrscht auch im Finanzsektor vor. Unternehmen, die daran etwas ändern möchten und ihre Sicherheit durch häufigeres Testen erhöhen wollen, sollten auf DevSecOps setzen. Ähnlich wie bereits zuvor Entwicklung und Betrieb zu DevOps integriert wurden, wird nun auch noch die Anwendungssicherheit von Beginn an miteinbezogen. Ziel dessen ist, dass die Entwickler während des gesamten Entwicklungsprozesses ihre Codes auf Sicherheitslücken regelmäßig scannen. Automatisches Testen nimmt bei DevSecOps eine wichtige Rolle ein, um die Developer zu entlasten und Organisationen zu mehr Leistungsfähigkeit zu verhelfen.

Im SoSS-Report konnte auch ein eindeutiger Zusammenhang zwischen der Häufigkeit von Tests und der Zeitspanne für die Fehlerbehebung festgestellt werden. Führen Unternehmen nur zwischen ein bis zwölf Scans in einem Jahr durch (maximal ein Scan pro Monat) umfasst die Zeitspanne, um fehlerhafte Applikationen zu reparieren (mean time to resolve) durchschnittlich 68 Tage. Sobald Verantwortliche tägliche Scans durchführen (ein Minimum von 260 Scans pro Jahr) sinkt die Mean Time to Resolve auf nur noch 19 Tage. Das entspricht einer Einsparung von 72 Prozent der Zeit und hilft so, die Sicherheitsverschuldung schneller zu reduzieren.Julian Totzek-Hallhuber, Veracode

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/104585 
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)
Loading...

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bayerische startet Versicherungsmanger für Eigen- und Fremd-Verträge

Self-Services, Schadensmeldungen, persönliche Beratung und die Erfassung von Fremd-Verträgen vereint...

Schließen