Time-to-Market contra Security: Was ist agile PEN-Testing ?
Verantwortlichen für IT Projekte deren Anwendung eine oder mehrere sicherheitskritische Prozesse/Daten beinhaltet kennen das Dilemma:
Kurz vor Live-Start erfolgt ein umfangreicher PEN-Test…. das birgt viele Risiken….
Aufgrund der umfangreichen Entwicklung mit agiler Projektmethodik zeigt sich in vielen Projekten das aufgrund des Zeitdruckes das Thema IT Sicherheit nicht ausreichend in Sprints berücksichtigt werden konnte. Das Risiko die Markteinführung einer Anwendung oder eines neuen Releases aufgrund von gefundenen Fehlern im PEN-Test verschieben zu müssen erhöht sich dadurch signifikant.
Marktstudien geben dazu bereits klare Statements ab: Die Synopsis Studie (eBook) „Sicherheit in der modernen Anwendungsentwicklung“ kommt zu dem repräsentativen Umfrageergebnis, dass fast die Hälfte der Organisationen anfällige Anwendungen aufgrund des Zeitdrucks bewusst trotz bekannter Sicherheitslücken einsetzen!
Time-to-Market ist ein entscheidender Erfolgsfaktor, hinter dem andere Faktoren wie App-Security eben zurückstehen müssen.
Hier ein Auszug der wichtigsten Ergebnis der Studie (Übersetzt mit www.deepl.com)
- Die meisten Unternehmen sind der Meinung, dass ihr Programm zur Anwendungssicherheit effektiv ist, obwohl viele noch immer anfällige Anwendungen in die Produktion bringen. Neunundsechzig Prozent der Umfrageteilnehmer bewerten die Wirksamkeit ihres aktuellen Programms mit einer 8 oder höher auf einer Skala von 0 bis 10 (wobei 10 die effektivste ist). Da jedoch fast die Hälfte der Organisationen regelmäßig gefährdeten Code bewusst in Umlauf bringen, haben die meisten von ihnen in den letzten 12 Monaten Exploits von Produktionsanwendungen mit OWASP-Top-10-Schwachstellen erlebt.
- Die Integration von (secure) DevOps ist ein entscheidendes Element für Verbesserungen. Mehr als ein Viertel der Befragten geben an, dass ihre aktuellen Anwendungssicherheitstools zu Reibungsverlusten führen und die Entwicklungszyklen verlangsamen, während 23% eine schlechte Integration mit Entwicklungs-/DevOps-Tools als eine häufige Herausforderung ansehen. Darüber hinaus nennen 26% der Befragten eine Schwierigkeit mit oder mangelnde Integration zwischen den Tools verschiedener Anbieter von Anwendungssicherheits-Tools als gemeinsame Herausforderung für die Anwendungssicherheit.
- Entwickler spielen eine wichtige Rolle bei der Anwendungssicherheit, aber ihnen fehlen die Fähigkeiten und die Ausbildung. Fast ein Drittel (29%) der Befragten geben an, dass es Entwicklern innerhalb ihrer Organisation an Wissen mangelt, um Probleme, die durch ihre aktuellen Anwendungssicherheitstools erkannt wurden, zu beseitigen. Darüber hinaus geben nur 17% an, dass ihre Entwickler Just-in-time-Schulungen nutzen, die in ihren Sicherheitswerkzeugen zur Verfügung stehen, und nur 29% müssen mindestens einmal pro Quartal an Schulungen teilnehmen.
- Die Organisationen planen, die Ausgaben für die Anwendungssicherheit zu erhöhen. Mehr als die Hälfte (51%) der Befragten geben an, dass sie in den nächsten 12 Monaten eine deutliche Erhöhung der Ausgaben für Anwendungssicherheit planen. Vierundvierzig Prozent planen, Investitionen in die Anwendungssicherheit gezielt in die Cloud zu investieren.
- Die Verbreitung von AppSec-Tools treibt viele Unternehmen dazu, in die Konsolidierung zu investieren. Viele Organisationen tun sich schwer, die Anzahl der vorhandenen Tools zu integrieren und zu verwalten, was häufig zu einer Verringerung der Wirksamkeit ihres Sicherheitsprogramms führt, während gleichzeitig eine übermäßige Menge an Ressourcen für deren Verwaltung eingesetzt wird. Da 70% von ihnen mehr als zehn Instrumente einsetzen, wird die Komplexität zu einem zentralen Thema, und infolgedessen konzentriert mehr als ein Drittel seine Investitionen auf die Konsolidierung.
Die Studie kann „HIER“ auch vollständig runter geladen werden.
Traditionelles Waterfall-Pentesting am Ende der Entwicklung, kurz vor dem Release-datum, kann hier nicht die Lösung sein. Sicherheitslücken müssen schon während der einzelnen Sprints von Anfang an proaktiv vermieden werden, anstatt sie erst am Ende der App-Entwicklung zu flicken. So ein Vorgehen erfüllt auch die GDPR-Vorgaben zu «Security by Design»
Setzen Sie wie viele andere auch agile Projektmethoden ein um Ihre Web oder App Anwendungen zu entwickeln ?
Ist IT-Sicherheit der Anwendungen für Ihre Kunden und Sie ein kritischer Erfolgsfaktor?
Wir haben eine Lösung für agile Projekte entwickelt die Time-to-Market sicherstellt und sich, auf die Bedürfnisse Ihrer Entwickler abgestimmt, in Entwicklungsumgebungen einfügt – automatisiertes „agile PEN-Testing“ – damit heben wir auch beim Einsatz agiler Projektmethoden ihre Anwendungssicherheit auf ein für ihr Haus passendes Niveau !
Klingt interessant ?
Dann nehmen Sie jetzt hier KONTAKT zu uns auf.
Photo by Caspar Camille Rubin on Unsplash
powered by Borlabs Cookie