Wofür stehen all die Sicherheits-Akronyme?
Sie sind wahrscheinlich hier, weil Sie von der Vielzahl der Akronyme rund um Sicherheitstools, -plattformen und -prozesse überflutet (und genervt!) sind. Jeder Softwareanbieter möchte sich in einem überfüllten Markt mit neuen Funktionen differenzieren, was Entwickelnde und Sicherheitsexperten erschöpft zurücklässt.
Hier ist unsere unkomplizierte Liste von Sicherheits-Akronymen, die Ihnen hilft, den Überblick zu behalten.
CVE: Common Vulnerabilities and Exposures
- Was bedeutet das für App-Entwickelnde?
CVE ist der öffentliche Katalog bekannter Schwachstellen, der von der gemeinnützigen MITRE Corporation betrieben wird. Seit seiner Einführung im Jahr 1999 hat er sich zum dem Standard für die Meldung von Cybersicherheitsproblemen entwickelt und bildet das Rückgrat für die meisten AppSec-Plattformen, die Ihre Anwendungen auf Probleme scannen.
Der Begriff CVE kann etwas verwirrend sein, da viele Sicherheitsexperten und Unternehmen „CVEs“ verwenden, um sich auf die Schwachstellen selbst zu beziehen, nicht auf den öffentlichen Katalog. Wenn auf der Website eines Unternehmens steht: „Unser ASPM schützt Sie vor schwerwiegenden CVEs“, bedeutet dies, dass die Plattform Ihren Code, Ihre Abhängigkeiten und Cloud-Konfigurationen auf Übereinstimmungen mit einer oder mehreren spezifischen Schwachstellen scannt, die im CVE-Katalog aufgeführt sind. - Müssen Sie sich darum kümmern? 👍
CVE als System und CVEs als einzelne Schwachstellen oder Expositionen spielen eine entscheidende Rolle für die Sicherheit. Der Schlüssel ist, sicherzustellen, dass Sie eine Plattform haben, die Sie darüber informieren und Ihnen einen reibungslosen Weg zur Behebung bieten kann.
SAST: Statische Anwendungssicherheitstests
- aka statische Analyse
- Was bedeutet das für App-Entwickelnde?
SAST-Tools prüfen den Quellcode effektiv auf Schwachstellen. Stellen Sie sich das als eine Möglichkeit vor, die Sicherheit frühzeitig im Entwicklungsprozess sowie während des gesamten Software Development Lifecycle (SDLC, ja, noch ein Akronym) zu gewährleisten, jedoch nur für den Code. Es konzentriert sich nicht auf die Funktionalität Ihrer App oder deren Bereitstellung. - Ist das relevant für Sie? 👍
SAST-Tools sind wie eine Rechtschreibprüfung für AppSec: ein fokussierter, aber wesentlicher Bestandteil Ihres Toolkits. Idealerweise wird Ihr SAST-Tool so früh wie möglich in der Entwicklung eingesetzt – in Ihrer IDE, als Pre-Commit-Git-Hook oder in Ihrer CI-Pipeline. Dies hilft Ihnen, Probleme früher zu erkennen und deren Auswirkungen in Bezug auf Behebung und Ressourcen zu reduzieren.
DAST: Dynamische Anwendungssicherheitstests
- Was bedeutet das für App-Entwickelnde?
Stellen Sie sich DAST als die „lebendige“ Version von SAST vor. DAST-Tools testen Ihre Anwendung mit simulierten Angriffen, während sie in einer produktionsähnlichen Umgebung läuft. So können Sie Sicherheitslücken schließen, bevor Angreifer sie entdecken. DAST-Tools ist es egal, wofür Ihre App gedacht ist, sondern nur, ob sie anfällig für bekannte Angriffe mit kritischem Schweregrad ist. - Ist das relevant für Sie? 👍
Kurzfristig ein leichtes Ja, langfristig ein klares Ja. Traditionell war DAST das Metier von DevOps- oder SecOps-Ingenieuren, doch da immer mehr Organisationen AppSec-Verantwortlichkeiten nach links zu den Entwickelnden verlagern, werden Vorgesetzte und Betriebsmitarbeitende Sie unweigerlich früher oder später bitten, diese Tools zu integrieren und mit ihnen zu interagieren.
IAST: interaktive Anwendungs- und Sicherheitstests
- Auch bekannt als: RASP (siehe unten!)
- Was bedeutet das für App-Entwickelnde?
IAST ist wie das „Liebeskind“ von SAST und DAST, das beide Ansätze in Ihrer IDE und als Teil Ihrer CI/CD-Pipeline kombiniert. Im Gegensatz zu den beiden anderen Ansätzen verwendet IAST einen in Ihre Anwendung eingebetteten Agenten, der sich in Ihre bestehenden Funktionstests einklinkt, um nach Problemen wie hartcodierten Anmeldeinformationen und nicht bereinigten Benutzereingaben zu suchen. - Ist das relevant für Sie? 🤷
Wenn Sie bereits SAST- und DAST-Tools in Ihrem Entwicklungszyklus verwenden, profitieren Sie möglicherweise wenig davon, eine IAST-spezifische Alternative zu Ihrem Toolkit hinzuzufügen. Wenn Sie jedoch neu im Bereich AppSec-Tests sind und ein einziges Tool auswählen müssten, um alle Bereiche abzudecken, könnten Sie die einzigartige Kombination aus Vollständigkeit und Ergebnisgeschwindigkeit schätzen.
ASPM: Application Security Posture Management
- Was bedeutet das für App-Entwickelnde?
ASPM-Plattformen funktionieren wie Security Observability für Ihre Anwendungen. Sie können Daten aus mehreren Quellen aufnehmen, Korrelationen prüfen und Probleme über mehrere Anwendungen hinweg mit kontextbezogenen Einblicken und Hilfestellungen zur Behebung priorisieren. Sie können auch sehr hilfreich für die Risikobewertung und -priorisierung sein, insbesondere in Branchen mit strengeren Compliance-Standards. - Ist das relevant für Sie? 👍
Aus Betriebs- oder Wartungsperspektive wahrscheinlich nicht, aber ASPMs werden zur Norm für Organisationen jeder Größe – die Idee ist, die Anzahl der Security Point Solutions zu reduzieren und eine umfassende AppSec-Plattform zu nutzen, die SAST, DAST und andere Funktionen umfassen könnte. Daher werden Sie höchstwahrscheinlich irgendwann auf ASPMs stoßen.
CSPM: Cloud Security Posture Management
- Was bedeutet das für App-Entwickelnde?
CSPM ist Security Observability für Ihre Cloud-Deployments. Diese Tools helfen Ihnen, Risiken für Ihre Cloud-Infrastruktur zu identifizieren oder zu visualisieren und Empfehlungen zur besten Behebung von Fehlkonfigurationen zu geben, wie z. B. Zugriffssteuerungen für Service-Konten, die Ihnen später Probleme bereiten könnten. - CSPM-Plattformen basieren auf Infrastructure as Code (IaC)-Praktiken, indem sie Ihre Konfigurationsdateien vor der Bereitstellung scannen und Warnmeldungen bevor Sie in Produktion gehen, liefern.
- Ist das relevant für Sie? 🤷
Das hängt vom Team ab, mit dem Sie zusammenarbeiten. Wenn Sie als App-Entwickelnde auch für die Konfiguration von Produktionsumgebungen bei einem Cloud-Anbieter verantwortlich sind, könnte CSPM für Sie relevant sein. Wenn Sie sich hauptsächlich auf die Geschäftslogik konzentrieren, während andere die operative Seite übernehmen, werden Sie möglicherweise nie mit einem CSPM interagieren.
DSPM: Data Security Posture Management
- Auch bekannt als: „Data First“-Security
- Was bedeutet das für App-Entwickelnde?
Ähnlich wie die anderen „Posture Management“-Kategorien bieten DSPM-Tools Einblick in die Datenspeicherung und -nutzung Ihrer Organisation. Sie lokalisieren sensible Informationen, berechnen das Risiko, das mit dem Ort und der Art der Speicherung verbunden ist, und bieten Wege zur Verbesserung Ihrer Security Posture. - DSPMs können sogar die Datenklassifizierung automatisieren, was beeinflusst, wie Sie Informationen in Ihren Anwendungen handhaben und speichern, insbesondere wenn diese zwischen mehreren Anwendungen oder Microservices-basierten APIs innerhalb Ihrer Infrastruktur fließen.
- Ist das relevant für Sie? 👎
Im Allgemeinen nein. DSPMs sind ziemlich tief im Bereich der Cybersicherheit angesiedelt – ideal für dedizierte Sicherheitsteams auf Groß- oder Unternehmensebene, nicht für kleinere App-Entwicklungsteams in Startups oder kleinen bis mittleren Unternehmen.
VM: Schwachstellenmanagement
- Auch bekannt als: Vulnerability Management System (VMS), Threat and Vulnerability Management (TVM), Vulnerability Assessment, Vulnerability Scanning, Technical Vulnerability Management
- Was bedeutet das für App-Entwickelnde?
VM ist ein ganzheitlicher Ansatz zur Identifizierung und Behebung von Schwachstellen in Ihrem Code, Ihren Konfigurationen und Cloud-Deployments, oft durch die Aggregation von Scandaten aus zusätzlichen AppSec-Tools, die durch viele dieser Akronyme repräsentiert werden.
Diese Plattformen helfen Ihnen, einen Zyklus der kontinuierlichen Verbesserung der Sicherheit zu implementieren, indem sie entdeckte Schwachstellen anhand des Common Vulnerability Scoring System (CVSS) bewerten. Dies hilft Ihnen, diejenigen zu priorisieren, die Sie sofort angehen sollten, und diejenigen, die Sie für den nächsten Sprint… oder das nächste Quartal aufschieben können. - Ist das relevant für Sie? 🤷
Dies hängt wirklich davon ab, welche VM-Plattform Ihre Organisation evaluiert oder bereits nutzt.
Traditionelle VM-Plattformen sind meist das Terrain von IT-Sicherheits-/Betriebsteams, Compliance- und Risikomanagement-Verantwortlichen, DevOps-Ingenieuren und sogar Penetrationstestern – Personen mit wesentlich mehr Sicherheitsexpertise und einem höheren Risiko, wenn Code in einem unsicheren Zustand in Produktion geht. Dennoch sind einige AppSec-Plattformen darauf ausgelegt, Entwickelnden zu helfen, ihre technischen Schwachstellen mit weniger Fehlalarmen und sofort relevanten Behebungen zu verwalten.
SCA: Software-Kompositionsanalyse
- auch: Komponentenanalyse
- Was bedeutet das für App-Entwickelnde?
Erinnern Sie sich an all die Pakete, die Sie Ihrer Anwendung mit npm, go get, pip und so weiter hinzugefügt haben? Jede dieser Abhängigkeiten verzweigt sich in Dutzende weitere, und alle bringen neue Risiken für Code- und Konfigurationsschwachstellen mit sich. Die Verfügbarkeit von Open-Source-Paketen ist ein Segen für die Produktivität, birgt aber erhebliche Sicherheitskosten.
SCA-Tools scannen Ihre Open-Source-Lieferkette nach Schwachstellen oder möglichen Problemen im Zusammenhang mit Open-Source-Lizenzen, und einige bieten sogar sofortige Updates an - Sollte es Sie interessieren? 👍👍
SCA-Tools ermöglichen es Ihnen, sicher auf all den wunderbaren Open-Source-Frameworks, -Projekten und -Bibliotheken aufzubauen, wodurch Sie die dringend benötigte Geschwindigkeit erhalten, ohne die Sicherheit zu opfern. Ein Muss für App-Entwickelnde, die eine Basis an AppSec-Garantien suchen.
RASP: Runtime Application Self-Protection
- auch: In-App-Schutz, In-App-Firewall, eingebettete App-Sicherheit, Laufzeitsicherheit, IAST
- Was bedeutet das für App-Entwickelnde?
RASP-Tools werden direkt in eine Anwendung eingebettet, um Angriffe zu erkennen und zu blockieren, ohne externe Infrastruktur wie WAFs (siehe unten) zu benötigen. Die Echtzeit-Sicherheitseinblicke und der „Hands-off“-Ansatz sind für einige attraktiv, aber da sie innerhalb Ihrer App operieren, müssen Sie jede Leistungsverschlechterung analysieren und diesen Einfluss gegen die Sicherheit abwägen, die Sie durch den Schutz vor gängigen Angriffen wie (No)SQL-Injection, Path Traversal, Shell-Injection und mehr erhalten. - Sollte es Sie interessieren? 👍
Wenn Sie sowohl im Bereich Entwicklung als auch Sicherheit knapp an Talenten sind, können RASP-Tools eine fantastische Abkürzung sein, um Ihre App und Benutzerdaten vor automatisierten Angriffen zu schützen. Sie sind sicherlich viel einfacher bereitzustellen und zu verwalten als ihr vernetzter Verwandter, WAFs, was sie zu einer großartigen Wahl für Anwendungsentwickelnde macht, die die Kosten und Komplexität weiterer Infrastruktur vermeiden möchten.
Sie sollten sich auch wegen unseres Open-Source-Firewall-Projekts für Node.js-Anwendungen interessieren. Wir lieben den Begriff RASP selbst nicht – Sie werden ihn nirgendwo in unserem GitHub-Repository finden – Firewall funktioniert auf ähnliche Weise, um alle kritischen Schwachstellen zu erkennen und zu blockieren, ohne dass Sie eine einzige Codezeile ändern müssen.
WAF: Web Application Firewall
- auch: WAAP (Web Application and API Protection)
- Was bedeutet das für App-Entwickelnde?
Diese on-premise- oder Cloud-basierte Bereitstellung befindet sich am äußersten Rand Ihrer Infrastruktur und ist der erste Kontaktpunkt zwischen einem Benutzer (oder Angreifer) und Ihrer App, wobei der für Ihre App bestimmte Traffic über DNS „abgefangen“ wird. Sie führen relativ schnell Hunderte von Regex-Mustervergleichen gegen die ersten paar hundert Kilobyte der eingehenden Anfrage durch und blockieren alles, was potenziell bösartigen Code enthält.
Das Ergebnis ist nahezu identisch mit RASP-Tools, aber WAFs kümmern sich noch weniger darum, wie Ihre App funktioniert oder was sie tun soll. - Sollte es Sie interessieren? 👎
Unserer bescheidenen Meinung nach, nein. Sie sollten wissen, was sie sind und welche Funktion sie haben, aber als App-Entwickelnde gibt es viele andere AppSec-Strategien, die Sie mit weitaus größerer Leichtigkeit implementieren können, als sich in das WAF-Gebiet zu begeben. Sie sind berüchtigt für Fehlalarme und Leistungsverschlechterungen, die unweigerlich die Erfahrung Ihrer legitimen Endbenutzer beeinträchtigen werden.
Wir lieben es auch nicht, Aikido Firewall als WAF zu bezeichnen, aber sie erfüllt alle gleichen Funktionen mit weitaus höherer Genauigkeit und Effizienz.
Was kommt als Nächstes?
Herzlichen Glückwunsch zum Abschluss Ihres Schnellkurses durch die AppSec-Akronyme!
Ob Sie sich gezwungen fühlen, diese schmerzlich lange Liste von Akronymen weiter zu studieren, um sich weiterzubilden, oder sich lieber vor allem, was mit Sicherheit zu tun hat, in der Komfortzone Ihrer Dark-Mode-IDE verstecken möchten: Denken Sie daran, dass das Ziel nicht ist, ein wandelndes AppSec-Lexikon zu werden. Niemand wird beeindruckt sein, wenn Sie zehn Minuten lang die Unterschiede zwischen ASPM, CSPM, DSPM und all den anderen erläutern können – sie werden beeindruckt sein, wenn Sie schnell das richtige AppSec-Tool für ihre genaue Situation empfehlen können.
4.7/5
Sichern Sie Ihre Software jetzt.
.avif)
