CIS Control 16: Anwendungssicherheitssoftware

Moderne IT-Umgebungen umfassen in der Regel eine Vielzahl von Anwendungen: intern entwickelte Software, gehostete Softwareplattformen, Open-Source-Tools und erworbene Lösungen. Da diese Anwendungen auf sensible Systeme, Daten und andere IT-Ressourcen zugreifen, sind Cyberkriminelle bestrebt, sie bei Angriffen auszunutzen.

CIS Control 16 bietet Anwendungssicherheitskontrollen zur Stärkung der Sicherheitslage Ihrer Organisation. Dieser Blogbeitrag erklärt, wie die Implementierung dieser CIS controls Ihnen helfen kann, das Risiko von Programmierfehlern, schwacher Authentifizierung, unsicherem Design, unsicherer Infrastruktur und anderen Schwachstellen, die Angreifer nutzen, um auf sensible Daten und Systeme zuzugreifen, zu reduzieren.

Beachten Sie, dass vor CIS Kritische Sicherheitskontrollen Version 8, das Thema, wie Anwendungen gesichert werden können, von CIS Control 18 abgedeckt wurde.

16.1. Etablieren und pflegen Sie einen sicheren Prozess für die Anwendungsentwicklung

Der erste Schritt besteht darin, einen sicheren Anwendungsentwicklungsprozess zu etablieren, der sichere Codierungspraktiken, Standards und Verfahren für sicheres Anwendungsdesign sowie die Sicherheit von Drittanbietercode umfasst. Stellen Sie außerdem sicher, dass Sie allen Beteiligten am Lebenszyklus der Anwendung, einschließlich der Entwicklungsteams und Implementierungsgruppen, eine Schulung zu diesem Prozess anbieten. Das Ziel ist es, eine Kultur des Bewusstseins für Cybersicherheit zu schaffen, in der jeder Ihre Sicherheitspraktiken versteht und aktiv daran arbeitet, Ihr Risiko zu minimieren.

Dieser Ansatz wird auch die Einhaltung der branchenspezifischen Vorschriften, gesetzlichen Auflagen und internen Governance-Anforderungen Ihrer Organisation verbessern.

16.2. Etablieren und pflegen Sie einen Prozess zur Annahme und Behebung von Software-Schwachstellen

Sie benötigen auch einen robusten Prozess für das Vulnerability Management, um Software-Schwachstellen zu akzeptieren und zu beheben. Führen Sie regelmäßige Risikobewertungen durch, um Lücken in Ihrer Netzwerksicherheit aufzudecken, und erstellen Sie Prozesse, die es Teammitgliedern erleichtern, Sicherheitsprobleme jederzeit zu melden, einschließlich während der Incident Response.

Stellen Sie sicher, dass Sie eine Rolle zuweisen, die für die Bearbeitung von Schwachstellenberichten und die Überwachung des Behebungsprozesses verantwortlich ist, und erwägen Sie die Investition in ein System zur Nachverfolgung von Schwachstellen.

16.3. Führen Sie eine Ursachenanalyse bei Sicherheitsanfälligkeiten durch

Um eine Sicherheitsanfälligkeit zu mildern, ist es unerlässlich, die zugrunde liegenden Probleme durch eine Ursachenanalyse zu verstehen. Neben der Unterstützung bei der Behebung spezifischer Schwachstellen hilft die Ursachenanalyse auch dabei, sichere Konfigurationsgrundlinien zu definieren, die Ihre Sicherheits- und Compliance-Position stärken.

16.4. Erstellen und verwalten Sie ein Inventar von Softwarekomponenten Dritter

Erstellen Sie ein Inventar von Softwarekomponenten Dritter, einschließlich derer, die Ihr Team während der Entwicklung verwendet und aller, die für die zukünftige Verwendung vorgesehen sind. Berücksichtigen und dokumentieren Sie die Risiken, die diese Softwarekomponenten für Ihre Apps darstellen, und halten Sie Ihr Inventar ordnungsgemäß verwaltet, indem Sie Änderungen oder Aktualisierungen identifizieren und aufzeichnen.

16.5. Verwenden Sie aktuelle und vertrauenswürdige Softwarekomponenten von Drittanbietern

Verwenden Sie nach Möglichkeit etablierte und bewährte Software sowie Bibliotheken. Suchen Sie vertrauenswürdige Quellen für diese Komponenten und bewerten Sie die Software auf mögliche Schwachstellen, bevor Sie sie verwenden.

Stellen Sie sicher, dass alle Drittsoftwarekomponenten weiterhin Entwicklerunterstützung erhalten; deaktivieren oder entfernen Sie alle, die dies nicht tun. Die Verwendung von Softwarekomponenten, die weiterhin Sicherheitsupdates erhalten, hilft, Ihr Risiko zu minimieren. Achten Sie darauf, nur vertrauenswürdige und verifizierte Quellen für diese Updates zu verwenden. Natürlich müssen Sie sicherstellen, dass Updates zeitnah installiert werden, um die Integrität Ihrer Systeme und Geräte zu wahren.

16.6. Etablieren und pflegen Sie ein Schweregrad-Bewertungssystem und Prozess für Anwendungsschwachstellen

Die Bewertung der Schwere von Anwendungsschwachstellen hilft Ihnen dabei, die Risikobeseitigung zu priorisieren. Profi-Tipp: Achten Sie bei der Erstellung Ihres Bewertungssystems darauf, wie kritisch die Anwendung und die Schwachstelle für Ihre Geschäftsprozesse sind. Überlegen Sie auch, ein Mindestsicherheitsniveau für Ihre Anwendungen festzulegen.

16.7. Verwenden Sie standardisierte Hardening-Konfigurationsvorlagen für die Anwendungsinfrastruktur

Die Verwendung von branchenempfohlenen Vorlagen zur Konfiguration Ihrer Server, Datenbanken und SaaS- sowie PaaS-Komponenten hilft Ihnen dabei, sichere Konfigurationen zu gewährleisten, die Schwachstellen mindern und die Cyber-Hygiene verbessern.

16.8. Trennen Sie Produktions- und Nicht-Produktionssysteme

Erstellen und pflegen Sie separate Umgebungen für Ihre Produktionssysteme und die Nicht-Produktionssysteme, die für Entwicklung und Tests verwendet werden. Überwachen Sie alle Interaktionen mit Ihren Produktionsumgebungen, um den unbefugten Zugriff von Personal zu verhindern.

Neben der Aktivitätsüberwachung schützen Sie Ihre IT-Umgebungen mit effektivem Account-Management. Gewähren Sie Benutzerkonten nur die Berechtigungen, die sie benötigen, und minimieren Sie administrative Privilegien. Zusätzliche Datenschutzmaßnahmen können in Microsoft Active Directory Umgebungen mit Group Policy implementiert werden.

16.9. Schulen Sie Entwickler in Konzepten der Anwendungssicherheit und sicherem Programmieren

Ihre Entwickler benötigen Schulungen zum Schreiben sicherer Codes. Schulungssitzungen sind am effektivsten, wenn sie auf die spezifischen Umgebungen und Verantwortlichkeiten der Gruppe zugeschnitten sind. Die Schulung sollte Anwendungssicherheitsstandards und allgemeine Sicherheitsprinzipien umfassen und darauf abzielen, das Sicherheitsbewusstsein zu erhöhen. Das SANS Institute ist eine hervorragende Ressource, um mehr über Informationssicherheit und Cybersicherheit zu erfahren.

Investitionen in das Schreiben von sicherem Code können Geld sparen, indem sie den Aufwand für die Erkennung und Behebung von Schwachstellen reduzieren.

16.10. Sichere Designprinzipien in Anwendungsarchitekturen anwenden

Zu den Prinzipien des sicheren Designs gehört die Richtlinie „Benutzereingaben niemals vertrauen“, die die Validierung aller Benutzeroperationen und explizite Fehlerprüfungen umfasst.

Ein sicheres Design beinhaltet auch die Minimierung der Angriffsfläche Ihrer Anwendungsinfrastruktur. Zum Beispiel können Ihre Teams unnötige Programme entfernen, Standardkonten umbenennen oder entfernen und ungeschützte Dienste und Ports deaktivieren.

16.11. Nutzen Sie geprüfte Module oder Dienste für Komponenten der Anwendungssicherheit

Geprüfte Module oder Dienste für Anwendungssicherheitskomponenten sind verfügbar für Identity Management, Verschlüsselung, Auditing und Logging. Deren Einsatz kann Implementierungs- und Designfehler reduzieren und die Arbeitsbelastung der Entwickler minimieren.

Zum Beispiel hilft die Verwendung moderner Betriebssysteme dabei, eine effektive Identifikation, Authentifizierung und Autorisierung von Anwendungen zu gewährleisten, sowie die Erstellung von sicheren Audit-Protokollen. Die ausschließliche Verwendung von standardisierten Verschlüsselungsalgorithmen, die umfassend überprüft wurden, verringert das Risiko von Schwachstellen, die Ihre Systeme kompromittieren können.

16.12. Implementieren Sie sicherheitsüberprüfungen auf Code-Ebene

Nutzen Sie statische und dynamische Analysewerkzeuge, um sicherzustellen, dass Ihre Entwickler sichere Codierungspraktiken befolgen, indem Sie auf Fehler testen. Recherchieren Sie die verfügbaren Werkzeuge, um diejenigen zu finden, die effektiv für Ihren Code funktionieren.

16.13. Durchführung von Penetrationstests bei Anwendungen

Penetrationstests können dabei helfen, Schwachstellen in Ihren Anwendungen aufzudecken, die während der Code-Überprüfungen und automatisierten Code-Scans übersehen werden können. Das Ziel der Tests in dieser Komponente im CIS CSC 16 besteht darin, Schwächen, einschließlich Sicherheitslücken im Internet, zu identifizieren und die Cyber-Sicherheitsresilienz sowie die Verteidigungsmechanismen Ihrer Anwendungsumgebung zu bewerten.

Beachten Sie, dass die Wirksamkeit von Penetrationstests von den Fähigkeiten des Testers abhängt.

16.14. Bedrohungsmodellierung durchführen

Im Rahmen des Threat Modeling bewerten speziell geschulte Entwickler das Design einer Anwendung mit einem Fokus auf Sicherheitsrisiken für jede Zugriffsebene oder jeden Einstiegspunkt, bevor die Programmierung beginnt. Das strukturierte Abbilden Ihrer Anwendungen, Architekturen und Infrastrukturen hilft Ihnen, Schwachstellen besser zu verstehen, sodass Sie Ihre Cyberabwehr verbessern und Ihre Daten vor unbefugtem Zugriff, Diebstahl oder Zerstörung schützen können.