Application Security - Sichere Software für sicheres Business

Threat Modeling ist ein strukturierter Prozess, der potenzielle Sicherheitsbedrohungen in Systemen, Anwendungen oder Prozessen frühzeitig identifizierbar macht. Dabei werden mögliche Angriffswege analysiert, Schwachstellen bewertet und Gegenmaßnahmen entwickelt, um die Sicherheit von Anfang an zu gewährleisten.

Im ersten Schritt analysiert die @-yet Ihr System oder Ihre Architektur genau, um ein umfassendes Verständnis zu schaffen. Anschließend werden mögliche Bedrohungen und Angriffswege identifiziert und Schwachstellen lokalisiert. Die @-yet bewertet diese Bedrohungen daraufhin nach ihrer Wahrscheinlichkeit und potenziellen Auswirkungen, um die kritischsten Risiken zu priorisieren. Abschließend entwickelt die @-yet auf Basis der Analyse spezifische Sicherheitsstrategien und Maßnahmen, die Ihre Systeme effektiv schützen.

Threat Modeling ist proaktive Sicherheit. Sie erkennen und beheben potenzielle Risiken, bevor sie Schäden anrichten können. Sie sparen Zeit und Kosten, die durch aufwendige Nachbesserungen entstehen. Gleichzeitig erhöht Threat Modeling das Bewusstsein für Sicherheitsrisiken in Ihrem Team und unterstützt Sie bei der Erfüllung regulatorischer Anforderungen.

Mit der Threat-Modeling-Lösung macht @-yet Sicherheit zu einem integralen Bestandteil Ihrer Prozesse. Sie schaffen eine stabile Grundlage für Ihr Unternehmen. Schützen Sie Ihre Systeme – wir unterstützen Sie dabei!

Methodik: Wie geht die @-yet vor?

• Analyse der unternehmenseigenen Assets und Angriffsvektoren
• Erstellung von Datenflussdiagrammen
• Analyse der Bedrohungen aus Sicht des zu testenden Systems  
• Einordnung der identifizierten Bedrohungen nach dem Risikomodell STRIDE

Ihre Vorteile

• Besseres Verständnis der eigenen Bedrohungslage
• Beratung zur Behandlung der identifizierten Bedrohungen
• Risikoreduktion in Bezug auf Compliance-Verstöße und Cyberangriffe  
• Aufstellung konkreter Maßnahmen zur Schließung von potenziellen Sicherheitslücken  
• Reduzierung von späteren Änderungen und kostenintensiven Nacharbeiten   

Ein Whitebox Penetration Test ist ein systematischer Prozess, bei dem die Security-Expert:innen der @-yet den Quellcode Ihrer Softwareprodukte im Rahmen eines Pentests unter die Lupe nehmen. Dabei nutzen die @-yet Resulter Methoden, die denen echter Angreifer ähneln, um potenzielle Schwachstellen aufzudecken und Sie gezielt bei der Behebung zu unterstützen.

Im Unterschied zu einem Blackbox Pentest, bei dem lediglich öffentlich zugängliche Informationen vorliegen, legt der Whitebox-Ansatz einen besonderen Fokus auf die Prüfung des Quellcodes. Die daraus gewonnenen Einblicke sowie ggfs. weitere Ressourcen, wie etwa Dokumentationen, ermöglichen es den @-yet Resultern, die Angriffsszenarien besonders gezielt zu gestalten.

Durch diesen Ansatz ermöglicht der Whitebox Pentest besonders präzise Ergebnisse, welche Ihnen wiederum konkrete Handlungsempfehlungen liefern, die identifizierten Sicherheitslücken zu schließen.

Methodik: Wie geht die @-yet vor?

• Manuelle und automatisierte Sicherheitsüberprüfung des Quelltextes
• Penetrationstest typischer Angriffsvektoren innerhalb der Applikation
• Kritische Elemente in der Oberfläche/Schnittstelle werden im Quelltext gesondert geprüft  
• Überprüfung von Softwareabhängigkeiten auf mögliche Schwachstellen  

Ihre Vorteile

• Mehr Robustheit der Applikation durch eine vielfältigere Analyse
• Umfangreichere Ergebnisse  
• Konkrete Handlungsempfehlungen    

Die @-yet untersucht den von Ihnen bereitgestellten Quellcode umfassend auf Sicherheitslücken, Schwachstellen, veraltete Abhängigkeiten und fehlerhafte Implementierungen. Im ersten Schritt erfolgt eine automatisierte statische und dynamische Code-Analyse, welche im zweiten Schritt durch eine manuelle Analyse ergänzt wird. Die Regeln, anhand derer die automatisierte Analyse stattfindet, kombinieren sich aus öffentlich verfügbaren und eigens von @-yet entwickelten Methodiken. 

Im Mittelpunkt stehen sicherheitsrelevante Aspekte wie starke Authentifizierung, geschützte Übertragung und Speicherung von Daten sowie sicheres Sitzungsmanagement. Die @-yet Resulter orientieren sich an Best Practices für sichere Softwareentwicklung. Besonderes Augenmerk gilt ebenfalls den verwendeten Bibliotheken, da sich darin oft veraltete Abhängigkeiten mit bekannten Schwachstellen finden. Zudem werden der Code und Dokumentation auf sensible Daten untersucht.

Die Secure-Coding-Analyse kann als eigenständiges Assessment durchgeführt oder in einen Whitebox Penetration Test integriert werden.

Methodik: Wie geht die @-yet vor?

• Intensiver Dialog mit dem Entwicklerteam
• Datenfluss nachvollziehen und mögliche Schwachstellen identifizieren
• Wechsel zwischen toolgestützter und manueller Analyse  
• Analyse der Abhängigkeiten  

Ihre Vorteile

• Präzise Handlungsempfehlungen direkt am Code
• Abdeckung eines breiten Spektrums möglicher Risiken  
• Ganzheitliche Betrachtung des Quellcodes  
• Deutliche Erhöhung des Sicherheitsniveaus der entwickelten Software   

Der Sicherheitsaspekt steht von Anfang an im Mittelpunkt der Softwareentwicklung. Zumindest sollte das der Idealfall sein. Die Realität sieht oft anders aus. Zumeist steht die Sicherheit am Ende des Entwicklungszyklus. Mit einem DevSecOps Audit verschiebt @-yet diesen Fokus.

Die @-yet prüft in Form von Penetrationstests auch die Deployment-Infrastrukturen. Dabei simulieren die @-yet Security-Expert:innen einen Angriff mit genau den Angriffsmethoden, die auch ein realer Angreifer nutzen würde. In diesem Zusammenhang ist auch von "Assumed-Breach-Tests" die Rede. Diese Tests beginnen mit der Annahme, dass sich Unbefugte bereits Zugriff auf das fragliche System verschafft haben. Damit erkennen und beheben die @-yet Teams Schwachstellen, die Angreifern potenziell den unerlaubten Zugang zur internen IT-Infrastruktur ermöglichen.

Ein weiterer Aspekt sind Konfigurationsprüfungen der sogenannten CI/CD-Pipelines. Früher erfolgten Aktualisierungen von Softwareprodukten in gewissen zeitlichen Abständen. Heute wird das überwiegend als kontinuierlicher und automatisierter Prozess realisiert. Dieser Prozess umfasst nicht nur die Entwicklung, sondern auch das Testen, die Integration und die Verteilung der Software. Die @-yet verbessert mit einer tiefgreifenden Prüfung die Sicherheit des gesamten Prozesses.

Die Security-Expert:innen der @-yet prüfen ebenso vorhandene Container-Lösungen und Orchestrierungsumgebungen. Treten hier Sicherheitslücken auf, besteht immer die Gefahr, dass Angreifer aus der Container-Umgebung ausbrechen. Ein Zugriff auf die darunterliegenden Systeme oder ganze Netzwerke ist dann möglich. Ein bewährtes Mittel dagegen sind regelmäßige Schwachstellenscans und die manuelle Überprüfung auf mögliche Ausbrüche. Schwachstellen werden so frühzeitig entdeckt. Sie können geschlossen werden, bevor ein Angreifer diese ausnutzen und Teile der IT-Infrastruktur kompromittieren kann.

Methodik: Wie geht die @-yet vor?

• Analyse der Container
• Analyse des Netzwerks der Orchestrierungsumgebung
• Analyse der Softwareverwaltung und CI/CD Pipelines  

Ihre Vorteile

• Sichere Bereitstellung neuer Software
• Frühzeitige Erkennung von Sicherheitslücken  
• Beratung zur Schließung gefundener Sicherheitslücken  
• Wissensaufbau bezüglich konfigurativer Fallstricke  
• Sicheres Unternehmensnetzwerk und wirksamer Schutz firmeninterner Daten   

Mobile Application Security Tests werden auf der Basis international anerkannter Standards (OWASP oder MASVS) durchgeführt. Ziel ist die Erhöhung der Sicherheit mobiler Anwendungen. Mögliche Schwachstellen werden so identifiziert, bevor eine Anwendung in die Produktion geht. Die @-yet verwendet statische und dynamische Analysemethoden. Während statische Methoden die Qualität des Quellcodes prüfen, untersuchen dynamische Analyseverfahren die Angriffsfläche der Anwendung und der darunterliegenden Systeme.

Methodik: Wie geht die @-yet vor?

• Analyse der Anwendungen gemäß den Sicherheitsanforderungen von OWASP und MASVS
• Durchführung von Tests auf Basis der OWASP MASTG
• Manuelle Sicherheitsüberprüfung kritischer Funktionen und Schnittstellen der App  

Ihre Vorteile

• Höhere Sicherheit durch Tests nach international anerkannten Standards
• Frühzeitige Identifikation von Sicherheitslücken, bevor die App veröffentlicht wird  
• Kostenreduktion durch weniger Sicherheitsprobleme in der späteren Entwicklungsphase