Hvad er en applikationssikkerhed vurdering ?

Applikationssikkerhedsvurdering er en proces til at finde og rette sikkerhedsrisici i software. Det vil hjælpe organisationer med at opdage problemer som usikker kode, fejlkonfiguration eller andre sårbarheder, før angribere gør det og bryder sikkerheden. Denne proces vil hjælpe organisationen med at forblive sikker, overholde regler og være pålidelig.

Mål for Applikationssikkerhedsvurdering

De primære mål for en applikationssikkerhedsvurdering er:

• At opdage sårbarheder før de udnyttes
• At validere eksisterende applikationssikkerhed
• At sikre overholdelse af forskellige rammer som PCI DSS, HIPAA, GDPR, osv.
• At reducere forretningsrisiko
• At beskytte følsomme data

Komponenter af Applikationssikkerhedsvurdering

En god applikationssikkerhedsvurdering bruger en klar proces. Mange sikkerhedsteams stoler på tjeklister for at sikre, at alt er i orden. Her er et eksempel på, hvordan en applikationssikkerhedsvurdering ser ud:

1. Gennemgå kode for at kontrollere usikre funktioner og logikker.
2. Kør SAST, DAST og IAST værktøjer på applikationen.
3. Valider autentificerings- og autorisationsmekanismen.
4. Tjek almindelige sikkerhedsproblemer, henvis til OWASP top 10
5. Gennemgå sårbarheder i afhængighedsbiblioteker.
6. Gennemgå konfiguration af cloud-platforme (f.eks. AWS, Google Cloud Platform, Azure) og containerplatforme (f.eks. Docker, Podman, osv.).
7. Udfør manuel penetrationstest for at validere automatiseringsfund
8. Prioriter risiko baseret på forretningspåvirkning og lav en afhjælpningsplan baseret på det.
9. Dokumenter fund og lav handlingsrettede anbefalinger
10. Retest efter rettelsen for at verificere, at sårbarhederne er løst.

Almindelige værktøjer og teknikker

• Statisk applikationssikkerhedstestning (SAST): en testmetodologi, der analyserer kildekode for at finde sårbarheder. SAST scanner kode, før den bliver kompileret. Det er også kendt som hvid boks-testning.
• Dynamisk applikationssikkerhedstestning (DAST): Det kaldes også “sort boks-testning,” hvor sikkerhedstesteren kontrollerer applikationen udefra uden kendskab til designsystemniveauet eller adgang til kildekode. Testeren kontrollerer dens kørende tilstand og observerer svarene for at simulere angreb foretaget af testværktøjet. En applikations svar på disse hjælper testere med at kontrollere, om applikationen har en sårbarhed eller ej.
• Interaktionsapplikationssikkerhedstestning (IAST): en applikationssikkerhedstestmetode, der tester en applikation, mens appen køres af en menneskelig tester, en automatiseret test eller enhver aktivitet, der interagerer med applikationsfunktionaliteten
• Manuel kodegennemgang eller penetrationstestning: en applikationssikkerhedstestmetode, der udføres af en etisk hacker. I modsætning til automatiseret sikkerhedstestning bruger denne metode virkelige scenarier, hvor der er åbne muligheder for, at applikationer har sårbarheder, som automatiserede sikkerhedsværktøjer overser.

Udfordringer i vurdering af applikationssikkerhed

• Håndtering af falske positiver fra automatiserede værktøjer
• Balance mellem tid og budget til test af hele applikationen
• Tilpasning til den hurtige transformation af angrebsmetoder
• Integration af vurdering i en moderne DevSecOps-pipeline uden at bremse udviklingen

Vurdering af applikationssikkerhed er en kontinuerlig proces for at sikre moderne applikationer mod cyberangreb. Med en vurdering af applikationssikkerhed kan en organisation sikre sin applikation for at beskytte både sin virksomhed og sine kunder.