Hvad er en applikationssikkerhedsvurdering?

Applikationssikkerhedsvurdering er en proces til at finde og rette sikkerhedsrisici i software. Det vil hjælpe organisationer med at opdage problemer som usikker kode, fejlagtig konfiguration eller andre sårbarheder, før angribere gør det og bryder sikkerheden. Denne proces vil hjælpe organisationen med at forblive sikker, overholde reglerne og være pålidelig.

Mål for Applikationssikkerhedsvurdering

De primære mål for en applikationssikkerhedsvurdering er:

• At opdage sårbarheder, før de udnyttes
• At validere eksisterende applikationssikkerhed
• At sikre overholdelse af forskellige rammer som PCI DSS, HIPAA, GDPR, osv.
• At reducere forretningsrisiko
• At beskytte følsomme data

Komponenter af Applikationssikkerhedsvurdering

En god applikationssikkerhedsvurdering bruger en klar proces. Mange sikkerhedsteams stoler på tjeklister for at sikre, at alt er i orden. Her er et eksempel på, hvordan en applikationssikkerhedsvurdering ser ud:

1. Gennemgå kode for at kontrollere usikre funktioner og logikker.
2. Kør SAST, DAST, og IAST værktøjer på applikationen.
3. Validér autentifikations- og autorisationsmekanismen.
4. Tjek almindelige sikkerhedsproblemer, henvis til OWASP top 10
5. Gennemgå sårbarheder i afhængighedsbiblioteker.
6. Gennemgå konfiguration af cloud-platforme (f.eks. AWS, Google Cloud Platform, Azure) og container-platforme (f.eks. Docker, Podman, etc).
7. Udfør manuel penetrationstest for at validere automatiseringsfund.
8. Prioriter risiko baseret på forretningspåvirkning og opret en afhjælpningsplan baseret på det.
9. Dokumentér fund og opret handlingsrettede anbefalinger.
10. Gen-test efter rettelsen for at verificere, at sårbarhederne er blevet løst.

Almindelige værktøjer og teknikker

• Statisk applikationssikkerhedstestning (SAST): en testmetodologi, der analyserer kildekode for at finde sårbarheder. SAST scanner kode, før den bliver kompileret. Det er også kendt som white box-testning.
• Dynamisk applikationssikkerhedstestning (DAST): Det kaldes også “black box-testning,” hvor sikkerhedstesteren undersøger applikationen udefra uden kendskab til designniveauet eller adgang til kildekode. Testeren undersøger dens kørende tilstand og observerer reaktionerne for at simulere angreb udført af testværktøjet. En applikations respons på disse hjælper testere med at kontrollere, om applikationen har en sårbarhed eller ej.
• Interaktionsapplikationssikkerhedstestning (IAST): en applikationssikkerhedstestmetode, der tester en applikation, mens appen køres af en menneskelig tester, en automatiseret test eller enhver aktivitet, der interagerer med applikationsfunktionaliteten
• Manuel koderevision eller penetrationstestning: en applikationssikkerhedstestmetode, der udføres af en etisk hacker. I modsætning til automatiseret sikkerhedstestning bruger denne metode virkelige scenarier, hvor der er åbne muligheder for, at applikationer har sårbarheder, som automatiserede sikkerhedsværktøjer overser.

Udfordringer ved vurdering af applikationssikkerhed

• Håndtering af falske positiver fra automatiserede værktøjer
• Balancere tid og budget til test af hele applikationen
• Tilpasning til den hurtige transformation af angrebsmetoder
• Integration af vurdering i en moderne DevSecOps-pipeline uden at bremse udviklingen

Vurdering af applikationssikkerhed er en kontinuerlig proces for at sikre moderne applikationer mod cyberangreb. Med en vurdering af applikationssikkerhed kan en organisation sikre sin applikation for at beskytte både sin virksomhed og sine kunder.

Relaterede termer

• Dynamisk applikationssikkerhedstest (DAST)
• Statisk applikationssikkerhedstest (SAST)
• Interaktiv applikationssikkerhedstest (IAST)
• Softwarekompositionsanalyse (SCA)