Willkommen in unserem Blog.

In den letzten Wochen haben wir viele neue Funktionen veröffentlicht und die Unterstützung für verschiedene Toolstacks erweitert. Vor allem haben wir Unterstützung für das Scannen vieler Container-Registries hinzugefügt! Außerdem:

• Wir haben viele neue AWS-Regeln hinzugefügt
• Autofix unterstützt jetzt auch Python
• Wir haben unsere Exploit-Erreichbarkeitsanalyse verbessert, um PNPM zu unterstützen.

Erweiterung der Unterstützung für Containerregistrierung

In vielen Containern läuft webbasierte Software wie Apache, Nginx, Python, Node.js oder andere Laufzeiten. Halten Sie sie mit Docker Container Scanning sicher! Neben Docker Hub, Azure Container Registry, GCP Artifact Registry & AWS Elastic Container Registry unterstützen wir jetzt auch die folgenden Registries:

GitLab-Container-RegistrierungCloud & selbstverwaltet)

Wir unterstützen jetzt die Container Registry von GitLab für Cloud & Self-Managed. Als Partner der GitLab Technology Alliance für Sicherheit konnten wir uns diese Funktionen nicht entgehen lassen!

Lesen Sie die Dokumentation zur Einrichtung:

• Container-Scan für Gitlab Container Registry
• Container-Scanning für Gitlab Self-Managed Container Registry

Digital Ocean Container-Register

DigitalOcean ist eine solide Cloud-Lösung, die wir unbedingt unterstützen wollten. Wir freuen uns, dass wir das jetzt auch für Container tun können!

Lesen Sie die Dokumentation zur Einrichtung

Scaleway-Container-Register

Wir sind stolz darauf, auch Exploit-Scans für die Container Registry von Scalewaydurchzuführen, eine der wenigen echten europäischen clouds!

Lesen Sie die Dokumentation zur Einrichtung

Verbesserte Erreichbarkeitsanalyse ausnutzen

Wir haben die Erreichbarkeitsanalyse für PNPM-Sperrdateien eingeführt. Um dies mit unserem Qualitätsstandard zu erreichen, haben wir dafür gesorgt, dass viele typische Randfälle (Aliasing, spezielle Versionsnotation usw.) abgedeckt werden. Das bedeutet, dass unsere Auto-Triage-Engine viele False Positives ausschließt, was andere nicht tun.

Wenn Sie PNPM verwenden und Aikido einsetzen, haben Sie Glück! Sie verwenden eines der wenigen Produkte in der Branche, das eine derartige Lärmreduzierung ermöglicht! 🎉

Erweiterung der AWS-Regeln

Wir haben unser AWS-Regelwerk aktualisiert, um mehr relevante Regeln aufzunehmen. Wir möchten sicherstellen, dass Sie über Probleme informiert werden, die wirklich wichtig sind. Einige neue Regeln umfassen:

• Prüfung auf nicht verwendete IAM-Anmeldeinformationen
• SSL-Zertifikate, die sich nicht automatisch verlängern
• ECR-Repositorien, die alte Bilder nicht automatisch löschen.

Stellen Sie sicher, dass Sie Ihre AWS-Cloud mit Aikido verbinden, um zu prüfen, ob Sie neue Erkenntnisse haben.

Ausweitung der Autofix-Abdeckung: Python

Mit der Autofix-Funktion von Aikido können Sie Pull-Requests erstellen, um Schwachstellen mit nur einem Klick zu beheben. Wir unterstützen jetzt auch Python! (Derzeit gilt dies nur für Umgebungen, die requirements.txt verwenden, aber noch nicht für poetry.lock-Dateien). Es gibt nichts extra zu konfigurieren. Navigieren Sie einfach zu einem Python-Problem und suchen Sie die Schaltfläche Autofix!

Lesen Sie mehr über Autofix in unseren Dokumentationen.

Probieren Sie diese heute aus

Loggen Sie sich in Ihr Aikido-Konto ein, um diese neuen Funktionen zu testen. Alternativ können Sie auch eine Demo von unserem Team anfordern.

Wir würden uns freuen, wenn Sie uns Ihr Feedback geben würden. Wenn Ihnen Ideen einfallen, halten Sie sich bitte nicht zurück - lassen Sie es uns einfach wissen! Wir sind über den In-App-Chat immer erreichbar 😉 .

SaaS-Unternehmen haben eine große Zielscheibe auf dem Rücken, wenn es um die Sicherheit geht, und das ist etwas, das ihre CTOs nachts wach hält. Die Cloud Security Alliance veröffentlichte ihren State of SaaS Security: 2024 Survey Report und stellte fest, dass "58 % der Unternehmen berichten, dass sie in den letzten zwei Jahren einen Vorfall erlebt haben".

‍

Die Bedeutung der Sicherheit wird durch die Ergebnisse einer Befragung von 15 SaaS-CTOs durch Aikido untermauert, bei der 93 % der CTOs die Wichtigkeit der Bedrohungsabwehr mit 7 (von 10) oder höher bewerteten.

Damit SaaS-CTOs besser schlafen können, haben wir eine umfassende SaaS-CTO-Sicherheitscheckliste erstellt. Wir sind zuversichtlich, dass Sie, wenn Sie sie befolgen und immer wieder darauf zurückkommen, sowohl Ihr Unternehmen als auch Ihre Anwendung 10-mal sicherer machen werden.

Echte Risiken für SaaS-Unternehmen

CI/CD-Tools wie GitHub Actions und CircleCI sind bevorzugte Ziele von Hackern. Ihre häufigen Sicherheitslücken ermöglichen den Zugang zu clouds und führen zur Offenlegung von Daten. Bei einer CircleCI-Panne im Jahr 2023 wurden secrets kompromittiert, während ein Exploit bei GitHub Actions im Jahr 2022 Open-Source-Projekte traf.

Die gesamte AWS-Umgebung eines Startups wurde über ein einfaches Kontaktformular auf ihrer Website kompromittiert. Wie? Das Formular ermöglichte SSRF-Angriffe und gewährte Zugriff auf IAM-Schlüssel, die dann per E-Mail verschickt wurden. Der Angreifer erlangte die Kontrolle über S3-Buckets und Umgebungsvariablen.

Diese Sicherheitsverletzungen betrafen echte Unternehmen und hatten reale Auswirkungen. Sie hätten jedoch verhindert werden können, wenn sie mehr Zeit und Mühe in die Verbesserung ihrer Sicherheitsverfahren investiert hätten.

SaaS CTO Sicherheits-Checkliste: 40+ Punkte als Leitfaden für Sie

Unsere täuschend einfache Checkliste umfasst über 40 Möglichkeiten, die Sicherheit Ihrer Mitarbeiter, Prozesse, Ihres Codes, Ihrer Infrastruktur und anderer Bereiche zu erhöhen. Sie ist nach Wachstumsphasen gegliedert - Bootstrap, Startup und Scaleup -, damit Sie die für Ihre aktuelle Phase relevanten Best Practices für die Sicherheit finden können. Während Sie wachsen, wird unsere Checkliste zu Ihrem zuverlässigen Leitfaden und ständigen Begleiter auf dem Weg zu den besten Sicherheitsverfahren für Ihr SaaS-Unternehmen.

Jeder Punkt auf der Liste soll Sie und Ihr Team dazu bringen, sich Gedanken über die Sicherheit zu machen, und Ihnen dann klare, präzise Anweisungen geben, was Sie tun können, um die Schwachstelle zu beseitigen. Und jeder Punkt ist gekennzeichnet, so dass Sie sicher sein können, dass er auf die aktuelle Situation Ihres Unternehmens zutrifft.

Die Checkliste ist außerdem in verschiedene Abschnitte unterteilt, so dass Sie die Bedürfnisse der verschiedenen Bereiche Ihres Unternehmens berücksichtigen können. Ihre Mitarbeiter sind anderen Bedrohungen ausgesetzt als Ihr Code oder Ihre Infrastruktur, daher ist es sinnvoll, sie getrennt zu betrachten.

Wenn Sie die Liste durchgehen, werden Sie zweifellos feststellen, dass einige Punkte noch nicht auf Sie zutreffen. Wir empfehlen Ihnen jedoch, die Checkliste regelmäßig zu überprüfen, damit Sie keine bösen Überraschungen erleben. Sicherheit muss nicht beängstigend sein, solange Sie handeln, um sicherer zu werden , bevor etwas Schlimmes passiert.

Wir haben einige Punkte herausgepickt, um Ihnen einen kleinen Einblick in die Checkliste zu geben. Die endgültige Checkliste enthält über 40 Punkte. Laden Sie sich also Ihr Exemplar herunter und beginnen Sie noch heute mit der Verbesserung Ihrer Sicherheit.

Erst zurück, dann wieder hoch

Die erste gilt für alle Phasen des Unternehmenswachstums, und sie ist absolut unerlässlich. Aber andererseits sind wir sicher, dass Sie bereits regelmäßig Backups durchführen, oder? Richtig?!

Beauftragung eines externen Teams für Penetrationstests

Unser nächster Punkt ist von entscheidender Bedeutung für Unternehmen, die mit dem Ausbau ihrer Geschäftstätigkeit beginnen. Das Wachstum läuft gut, Sie haben sich mit allen Problemen befasst, die auf dem Weg nach oben Risiken darstellen, aber sind Sie sicher, dass Ihre Infrastruktur auf allen Ebenen sicher ist? Dann ist es an der Zeit, ein Team für Penetrationstests zu engagieren!

Aktualisieren Sie Ihr Betriebssystem und Ihre Docker-Container

Diese Aufgabe ist einfach, aber viele Entwickler sparen hier an der falschen Stelle. Die Aktualisierung verschlingt Zeit, während andere Aufgaben dringender erscheinen. Aber wenn Sie Aktualisierungen auslassen, sind wichtige Systeme anfällig für Sicherheitslücken. Bleiben Sie beim Patchen und Aktualisieren gewissenhaft, um spätere Probleme zu vermeiden.

Gewöhnung aller an grundlegende Sicherheitspraktiken

Der letzte Punkt ist in allen Phasen von Bedeutung und ein fester Bestandteil unserer Checkliste: die Notwendigkeit, jeden mit grundlegenden Sicherheitspraktiken vertraut zu machen. Menschen machen Fehler. Das ist unvermeidlich. Aber wenn man jeden dazu bringt, über Sicherheit nachzudenken, können diese Fehler gemildert werden.

Laden Sie Ihre kostenlose SaaS CTO Sicherheits-Checkliste herunter

Das ist nur eine Handvoll der wichtigsten Tipps, die in der Checkliste aufgeführt sind. Wir geben Ihnen auch Hinweise zu Code-Reviews, Onboarding und Offboarding, DDoS-Angriffen, Datenbankwiederherstellungsplänen und vielem mehr.

Laden Sie jetzt die Aikido-Sicherheitscheckliste 2025 für SaaS-CTOs herunter und beginnen Sie damit, Ihre App zu schützen und Ihr Team dazu zu bringen, ernsthaft über Sicherheit nachzudenken. Es ist nie zu spät oder zu früh, egal, in welchem Stadium sich Ihr Unternehmen befindet.

Laden Sie die vollständige SaaS-Sicherheitscheckliste herunter:

SaaS-Unternehmen haben eine große Zielscheibe auf dem Rücken, wenn es um die Sicherheit geht, und das ist etwas, das ihre CTOs nachts wach hält. Die Cloud Security Alliance veröffentlichte Anfang des Jahres ihren State of SaaS Security: 2023 Survey Report und stellte fest, dass "55 % der Unternehmen berichten, dass sie in den letzten zwei Jahren einen Vorfall hatten".

Die Wichtigkeit der Sicherheit wird durch die Ergebnisse einer kürzlich von Aikido durchgeführten Befragung von 15 SaaS-CTOs untermauert, bei der 93 % der CTOs die Wichtigkeit der Bedrohungsabwehr mit 7 (von 10) oder höher bewerteten.

Damit SaaS-CTOs besser schlafen können, haben wir eine umfassende SaaS-CTO-Sicherheitscheckliste erstellt. Wir sind zuversichtlich, dass Sie, wenn Sie sie befolgen und immer wieder darauf zurückkommen, sowohl Ihr Unternehmen als auch Ihre Anwendung 10-mal sicherer machen werden.

Echte Risiken für SaaS-Unternehmen

CI/CD-Tools wie GitHub Actions und CircleCI sind bevorzugte Ziele von Hackern. Ihre häufigen Sicherheitslücken ermöglichen den Zugang zu clouds und führen zur Offenlegung von Daten. Bei einer CircleCI-Panne im Jahr 2023 wurden secrets kompromittiert, während ein Exploit bei GitHub Actions im Jahr 2022 Open-Source-Projekte traf.

Die gesamte AWS-Umgebung eines Startups wurde über ein einfaches Kontaktformular auf ihrer Website kompromittiert. Wie? Das Formular ermöglichte SSRF-Angriffe und gewährte Zugriff auf IAM-Schlüssel, die dann per E-Mail verschickt wurden. Der Angreifer erlangte die Kontrolle über S3-Buckets und Umgebungsvariablen.

Diese Sicherheitsverletzungen betrafen echte Unternehmen und hatten reale Auswirkungen. Sie hätten jedoch verhindert werden können, wenn sie mehr Zeit und Mühe in die Verbesserung ihrer Sicherheitsverfahren investiert hätten.

SaaS CTO Sicherheits-Checkliste: 40+ Punkte als Leitfaden für Sie

Unsere täuschend einfache Checkliste umfasst über 40 Möglichkeiten, die Sicherheit Ihrer Mitarbeiter, Prozesse, Ihres Codes, Ihrer Infrastruktur und anderer Bereiche zu erhöhen. Sie ist nach Wachstumsphasen gegliedert - Bootstrap, Startup und Scaleup -, damit Sie die für Ihre aktuelle Phase relevanten Best Practices für die Sicherheit finden können. Während Sie wachsen, wird unsere Checkliste zu Ihrem zuverlässigen Leitfaden und ständigen Begleiter auf dem Weg zu den besten Sicherheitsverfahren für Ihr SaaS-Unternehmen.

Jeder Punkt auf der Liste soll Sie und Ihr Team dazu bringen, sich Gedanken über die Sicherheit zu machen, und Ihnen dann klare, präzise Anweisungen geben, was Sie tun können, um die Schwachstelle zu beseitigen. Und jeder Punkt ist gekennzeichnet, so dass Sie sicher sein können, dass er auf die aktuelle Situation Ihres Unternehmens zutrifft.

Die Checkliste ist außerdem in verschiedene Abschnitte unterteilt, so dass Sie die Bedürfnisse der verschiedenen Bereiche Ihres Unternehmens berücksichtigen können. Ihre Mitarbeiter sind anderen Bedrohungen ausgesetzt als Ihr Code oder Ihre Infrastruktur, daher ist es sinnvoll, sie getrennt zu betrachten.

Wenn Sie die Liste durchgehen, werden Sie zweifellos feststellen, dass einige Punkte noch nicht auf Sie zutreffen. Wir empfehlen Ihnen jedoch, die Checkliste regelmäßig zu überprüfen, damit Sie keine bösen Überraschungen erleben. Sicherheit muss nicht beängstigend sein, solange Sie handeln, um sicherer zu werden , bevor etwas Schlimmes passiert.

Wir haben einige Punkte herausgepickt, um Ihnen einen kleinen Einblick in die Checkliste zu geben. Die endgültige Checkliste enthält über 40 Punkte. Laden Sie sich also Ihr Exemplar herunter und beginnen Sie noch heute mit der Verbesserung Ihrer Sicherheit.

Erst zurück, dann wieder hoch

Die erste gilt für alle Phasen des Unternehmenswachstums, und sie ist absolut unerlässlich. Aber andererseits sind wir sicher, dass Sie bereits regelmäßig Backups durchführen, oder? Richtig?!

Beauftragung eines externen Teams für Penetrationstests

Unser nächster Punkt ist von entscheidender Bedeutung für Unternehmen, die mit dem Ausbau ihrer Geschäftstätigkeit beginnen. Das Wachstum läuft gut, Sie haben sich mit allen Problemen befasst, die auf dem Weg nach oben Risiken darstellen, aber sind Sie sicher, dass Ihre Infrastruktur auf allen Ebenen sicher ist? Dann ist es an der Zeit, ein Team für Penetrationstests zu engagieren!

Aktualisieren Sie Ihr Betriebssystem und Ihre Docker-Container

Diese Aufgabe ist einfach, aber viele Entwickler sparen hier an der falschen Stelle. Die Aktualisierung verschlingt Zeit, während andere Aufgaben dringender erscheinen. Aber wenn Sie Aktualisierungen auslassen, sind wichtige Systeme anfällig für Sicherheitslücken. Bleiben Sie beim Patchen und Aktualisieren gewissenhaft, um spätere Probleme zu vermeiden.

Gewöhnung aller an grundlegende Sicherheitspraktiken

Der letzte Punkt ist in allen Phasen von Bedeutung und ein fester Bestandteil unserer Checkliste: die Notwendigkeit, jeden mit grundlegenden Sicherheitspraktiken vertraut zu machen. Menschen machen Fehler. Das ist unvermeidlich. Aber wenn man jeden dazu bringt, über Sicherheit nachzudenken, können diese Fehler gemildert werden.

Laden Sie Ihre kostenlose SaaS CTO Sicherheits-Checkliste herunter

Das ist nur eine Handvoll der wichtigsten Tipps, die in der Checkliste aufgeführt sind. Wir geben Ihnen auch Hinweise zu Code-Reviews, Onboarding und Offboarding, DDoS-Angriffen, Datenbankwiederherstellungsplänen und vielem mehr.

Laden Sie jetzt die 2024 SaaS CTO Security Checklist von Aikido herunter und beginnen Sie damit, Ihre App zu härten und Ihr Team dazu zu bringen, ernsthaft über Sicherheit nachzudenken. Es ist nie zu spät oder zu früh, egal, in welchem Stadium sich Ihr Unternehmen befindet.

Laden Sie die vollständige SaaS-Sicherheitscheckliste herunter

Wir haben uns mit 15 SaaS-CTOs über ihre Herausforderungen und Bedenken in Bezug auf Cloud- und Codesicherheit unterhalten. Warum?

• SaaS-CTOs stehen alle vor Herausforderungen bei der Sicherung ihres Produkts. Wir wollten diese Trends erkennen und ihre Bedürfnisse und Sorgen herausfinden.
• Kundenbefragungen sind für den Erfolg eines jeden Start-ups unerlässlich, und das gilt auch für Aikido! Wir lieben es, herauszufinden, was unsere Kunden zu sagen haben.
• Von Anfang an haben wir uns darauf konzentriert, unsere Sicherheitstools auf der Grundlage der wichtigsten Informationen für unsere Kunden zu entwickeln und weiterzuentwickeln.

Hier bei Aikido glauben wir an den offenen Austausch von Wissen, daher ist es nun an der Zeit, das weiterzugeben, was unsere Beratungen entdeckt und aufgedeckt haben.

Über unsere Beratung zu Cloud- und Codesicherheit

Die von uns befragten CTOs stammen aus Cloud-nativen Software-Startups mit 51-500 Mitarbeitern. Wir haben uns auf diese Cloud- und Code-Sicherheitsthemen konzentriert:

• die Priorität, die die Verhinderung einer Bedrohung erhalten kann
• Blocker zur Verhinderung von Bedrohungen
• den Grad ihrer Zufriedenheit mit den derzeitigen Lösungen
• welche anderen Lösungen sie verwendet haben und welche Mängel sie aufweisen
• Herausforderungen, denen sie gegenüberstehen
• ihre Anforderungen und gewünschten Ergebnisse
• Merkmale, die sie schätzen, und
• was sie in Zukunft erreichen wollen.

Wie wichtig ist es für Sie, Bedrohungen der Cloud- und Codesicherheit zu verhindern?

Beginnen wir mit der Priorität, die die CTOs der Abwehr von Sicherheitsbedrohungen einräumen. Unsere Erkenntnisse zeigen, dass CTOs der Bedrohungsabwehr eine hohe Priorität einräumen. Die durchschnittliche Bewertung liegt bei 8,27 (von 10). 93 % der CTOs stuften die Wichtigkeit der Bedrohungsabwehr mit 7 oder höher ein. 8 war die beliebteste Antwort, und 10 war die zweithöchste Wahl.

Was steht einer wirksamen Vorbeugung gegen Bedrohungen der Cloud- und Codesicherheit im Wege?

So sehr CTOs auch Cloud- und Code-Sicherheitsbedrohungen verhindern möchten, so sehr behindern einige Hindernisse den Erfolg. Die drei größten Hindernisse waren konkurrierende Prioritäten, das Budget und die Komplexität.

Konkurrierende Prioritäten

Die wichtigste Antwort: konkurrierende Prioritäten (40 %). Was bedeutet dies für die Herausforderungen im Bereich der Sicherheit? Obwohl die CTOs der Sicherheit eine hohe Priorität einräumen, gibt es andere gleichwertige oder möglicherweise sogar wichtigere Anliegen innerhalb eines Unternehmens. Der Wettlauf zwischen der Einführung neuer Funktionen und den damit verbundenen Sicherheitsproblemen ist beispielsweise der Balanceakt der Cybersicherheit.

Da Sicherheit oft eine gute langfristige Investition ist, aber im Alltag weniger Auswirkungen hat, kann man die Arbeit leicht vernachlässigen.

Budgetzwänge

Das zweite Hindernis waren Budgetbeschränkungen (33 %). Die größte Herausforderung besteht darin, den ROI nachzuweisen, den Sicherheitsmaßnahmen für das Unternehmen bringen. Oder, wie es ein CTO ausdrückt: "Den Business Case für Investitionen in die Cloud-Sicherheit erstellen". Dies kann auch mit der oben erwähnten Depriorisierung im Tagesgeschäft zusammenhängen.

Komplexität

Komplexität belegt den dritten Platz (27 %). Das Problem dabei ist, dass es so viele potenzielle Bedrohungen gibt. Es ist mühsam und herausfordernd, ihnen Prioritäten zuzuordnen. Dies kann überwältigend sein, so dass man leicht den Überblick über die größten Bedrohungen verliert.

Wie zufrieden sind Sie mit Ihren derzeitigen Lösungen zur Verhinderung von Code- und Cloud-Sicherheitsbedrohungen?

Die durchschnittliche Bewertung liegt bei 6,4 und ein Drittel der CTOs bewertete ihre Zufriedenheit mit den aktuellen Lösungen mit 5 oder weniger. Nur 20 % waren mit einer 8 oder 9 sehr zufrieden, während 0 % eine perfekte 10 vergaben. Wichtig ist hier der Vergleich mit der viel höheren Priorität, die sie der Bedrohungsabwehr einräumen. Wir stellen eine deutliche und besorgniserregende Kluft zwischen Wichtigkeit und Zufriedenheit fest.

Welche anderen Sicherheitslösungen verwenden Sie und welche Schwachstellen haben sie?

Die aktuellen Sicherheitslösungen umfassen eine breite Palette von Produkten, die auf dem Markt erhältlich sind. Die CTOs nannten 11 Produkte, wobei SonarQube am häufigsten verwendet wurde (33 %). Darüber hinaus nutzten nicht mehr als 13 % der CTOs zum Zeitpunkt unserer Umfrage dieselben Produkte.

Preisgestaltung und Preismodelle

40 % der CTOs gaben an, dass der größte Schwachpunkt die hohen Preise und Preismodelle sind. Ein CTO berichtet von astronomisch hohen Preisen: "Wir zahlen heute für Software einen sechsstelligen Betrag. Ein anderer stellt die langfristige Tragfähigkeit der Preisgestaltung nach Zeilen in Frage: "Preismodelle, die sich an der Anzahl der Codezeilen orientieren, geben Anlass zur Sorge für die Zukunft.

Falsch-positive Meldungen

33 % gaben an, dass es sich um Fehlalarme handelt, d. h. um Alarme, die fälschlicherweise eine Schwachstelle oder eine bösartige Aktivität identifizieren. Wir alle können die Frustration nachvollziehen, die hier entsteht: Ermüdung durch Warnmeldungen und verschwendete Ressourcen, die durch Fehlalarme entstehen.

Weitere Schwachstellen der derzeitigen Lösungen

Zu den weiteren Schwachstellen gehören die Schwierigkeiten bei der Risikobewertung, die komplexe Einrichtung und Wartung, die fehlende Anpassung des Tech-Stacks und der begrenzte Schutz.

Ein CTO verweist auf die Frustration über die Notwendigkeit, mehrere Sicherheitslösungen einzusetzen:

Ich kenne keine Lösung, die mehrere Szenarien abdeckt, d. h. meine Erwartung als CTO wäre, dass die SaaS, die wir derzeit für automatische Sicherheitsscans unserer Codebasis verwenden, sicherlich nicht dasselbe sein wird wie eine Lösung, die die compliance bei einem unserer Cloud-Anbieter gewährleistet.

Was lernen wir daraus, was CTOs über aktuelle Schwachstellen in Sicherheitssoftware denken?

Hier ist die wichtigste Erkenntnis. CTOs suchen nach einem One-Stop-Shop für Cloud- und Codesicherheitssoftware, der Folgendes bietet:

• angemessene Preisgestaltung
• das Fehlen von Fehlalarmen
• eine unkomplizierte Einrichtung, und
• mühelose Wartung.

Was sind die größten Herausforderungen bei der Sicherung von Code und Cloud?

Die größten Herausforderungen für SaaS-CTOs sind derzeit der Widerstand innerhalb des Unternehmens, zu viele Informationen, die bewältigt werden müssen, sich entwickelnde Bedrohungen und die Komplexität einer vollständigen Abdeckung.

Interne Opposition

40 % gaben an, dass die größte Herausforderung interner Natur ist: mangelndes Bewusstsein oder andere Prioritäten bedeuten begrenzte Ressourcen. Dies bestätigt die beiden größten Hindernisse bei der Abwehr von Bedrohungen, die bereits erwähnt wurden (Prioritäten und Budget).

Die größte Herausforderung besteht darin, die Denkweise in den Unternehmen zu ändern und ihnen klarzumachen, dass Sicherheit eine Funktion ist und dass wir kontinuierlich in sie investieren müssen.

Das Management von Veränderungen ist bekanntermaßen schwierig. Noch schwieriger ist es, das Bewusstsein für sinnvolle Veränderungen in Bezug auf Einstellung und Strategie zu schärfen.

Zu viel Lärm

Die Informationsflut ist ein echtes Problem. 27 % der CTOs geben an, dass die größte Herausforderung darin besteht, zwischen den vielen Informationen die richtige Entscheidung zu treffen. Es ist nicht einfach zu verstehen, welche Bedrohungen priorisiert oder untersucht werden sollen und wie man mit ihnen umgeht. Auch hier kann es zu Sackgassen, Ineffizienzen und fehlgeleiteter Arbeit kommen, wenn Falschmeldungen im Spiel sind.

In den Protokollen scheinen unbegrenzt viele Daten enthalten zu sein, aber es gibt keine Möglichkeit zu verwalten, was sie alle bedeuten und von wem und wie sie behandelt werden sollten.

Entwicklung, Umfang und Komplexität der Bedrohungen

Die Entwicklung von Bedrohungen, der Erfassungsgrad und die Komplexität wurden als weniger wichtige Herausforderungen eingestuft. Sie bestätigen jedoch einige der in der Umfrage ermittelten Hindernisse und Schwachstellen.

Sicherheitsbedrohungen stagnieren nicht - sie entwickeln sich weiter und sind den Sicherheitslösungen meist einen Schritt voraus. Das bedeutet, dass sich auch Ihre Schwachstellen weiterentwickeln, was sich manchmal wie ein Spiel mit dem Maulwurf anfühlen kann.

Die Angreifer werden in ihren Methoden immer raffinierter, und es werden regelmäßig neue Schwachstellen entdeckt.

Die CTOs wiesen außerdem auf Herausforderungen hin, die einige der bei ihren derzeitigen Lösungen festgestellten Mängel bestätigen. Sie berichten von einer unvollständigen Abdeckung, die ein falsches Gefühl der Sicherheit vermittelt. Und in der Sicherheitsbranche ist das einfach nicht gut genug!

Sie versuchen zwar, ein Gefühl der Sicherheit zu vermitteln, aber ich bin besorgt, dass sie uns nicht wirklich vor den meisten Bedrohungen schützen.

Die unvollständige Abdeckung hängt mit der Notwendigkeit - oder der Wahrnehmung der Notwendigkeit - eines Flickenteppichs aus verschiedenen Lösungen zusammen:

Es gibt zu viele bewegliche Teile. Von den eigentlichen Erstentwicklungssystemen und der Software über den CICD-Prozess bis hin zur Anwendungsinfrastruktur und den Datenspeichern ... passen sie nicht in einen ganzheitlichen Lösungsansatz für die Sicherheitslage".

Was sind die gewünschten Geschäftsergebnisse von CTOs? Was ist den CTOs bei Cloud- und Codesicherheit am wichtigsten?

Wir haben diese beiden Fragen gestellt, um herauszufinden, welche strategischen Ziele sie verfolgen und was für das Erreichen dieser Ziele am wichtigsten ist.

Gewünschte Ergebnisse

Die CTOs bewerteten die drei wichtigsten strategischen Ergebnisse wie folgt:

1. Schutz des Markenrufs und des Kundenvertrauens (47 %)
2. Sensible Daten sind geschützt, was bedeutet, dass es keine Datenschutzverletzungen gibt (33 %)
3. Übernahme der Kosten für die compliance (20%)

Was ist am wichtigsten?

Und um diese gewünschten Ergebnisse zu erreichen, waren für die CTOs folgende Punkte am wichtigsten (bei dieser Frage konnten sie mehr als einen auswählen):

1. Geringer Wartungsaufwand (53%)
2. Zuverlässigkeit / Keine falsch positiven Ergebnisse (40%)
3. Klare und effektive Berichterstattung (33%)

Fällt Ihnen auf, was uns auffällt? Diese Erkenntnisse ähneln denen, die wir aus der Frage nach den Schwachstellen aktueller Sicherheitslösungen gewonnen haben.

Aber wie sieht es mit der Preisgestaltung aus?

Klare und effektive Berichterstattung ersetzt jedoch in der obigen Liste die angemessene Preisgestaltung im Vergleich zu den Fehlern, die man gelernt hat. Im Gegensatz zu den Kommentaren und Entscheidungen zu Preis und Budget weiter oben in der Umfrage gaben nur 7 % der Befragten der Preisgestaltung in dieser Frage den Vorrang. Was könnte das bedeuten?

Lassen Sie uns die Verwirrung über den Preis ausräumen. Wir interpretieren dies so, dass der Preis eine Herausforderung und ein Hindernis darstellt, wenn die Sicherheitssoftware nicht die Erwartungen erfüllt. Ist die Sicherheitslösung jedoch präzise, einfach zu warten, entmystifiziert die Komplexität durch eine unkomplizierte Berichterstattung und trägt dazu bei, die übergeordneten Ziele zu erreichen, nämlich den Ruf der Marke zu schützen, das Vertrauen der Kunden zu gewinnen und die Daten sicher zu halten, während gleichzeitig die compliance eingehalten werden, ist der Preis weniger ein Hindernis und leichter zu rechtfertigen.

Die wichtigsten Merkmale bei der Auswahl von Software für Cloud- und Codesicherheit

Wir haben die SaaS-CTOs auch gefragt, welche technischen Merkmale für sie am wichtigsten sind. Sie bewerteten fünf Aussagen wie folgt (Punktzahlen von 4):

1. Erkennung vonCloud - 3,67 (33 % bewerteten dies an erster Stelle)
2. Open Source Vulnerability Scanning - 3.53 (33% bewerteten dies als erstes)
3. Erkennung vonSecrets (API-Schlüssel, Passwörter, Zertifikate usw.) - 3,53 (über 53 % bewerteten dies als zweitrangig)
4. Statische Code-Analyse über CI/CD-Plattformen - 2.93
5. Open-Source-Lizenz-Scanning - 1,33 (80% bewerteten dies als letztes)

Welche dieser Sicherheitsfunktionen sind für Sie am wichtigsten? Gibt es noch andere, die Sie gerne in Ihrer Sicherheitslösung sehen würden?

Sie möchten ein Produkt, das Ihre Herausforderungen im Bereich Cloud- und Codesicherheit löst?

Auf die Frage, was sie in Zukunft erreichen möchten, nannten die CTOs vor allem die folgende Aussage:

Ich möchte mich vor Bedrohungen der Cloud- und Codesicherheit vollkommen sicher fühlen.

Das ist Musik in unseren Ohren. Willem, unser CTO, hatte bei seinen früheren Unternehmen mit genau diesem Problem zu kämpfen. Dieser Schmerzpunkt brachte ihn auf die Mission, die richtige Lösung zu schaffen. Und genau das ist es, was wir mit Aikido aufbauen.

Unsere Lösung vereint die besten Open-Source-Software-Sicherheitstools. So können Sie alle relevanten Bereiche abdecken. Aikido zeigt Ihnen auch, welche Probleme und Schwachstellen wirklich wichtig sind und welche Sie tatsächlich lösen sollten. Hier gibt es keine Fehlalarme!

Sehen Sie selbst, wie Aikido die Herausforderungen eines CTOs im Bereich Cloud- und Codesicherheit lösen kann. Machen Sie eine kostenlose Testfahrt mit Aikido oder nehmen Sie Kontakt mit uns auf.

In der sich schnell verändernden digitalen Landschaft ist die Anwendungssicherheit eine Notwendigkeit. Eine der effektivsten Möglichkeiten, die Sicherheit Ihrer Anwendung zu verbessern, ist die Bewertung anhand der OWASP Top 10. Aber was genau ist die OWASP Top 10, und warum sollte sie für Sie von Bedeutung sein?

OWASP Top 10: ein Rahmen für Web-Sicherheit

Das Open Web Application Security Project(OWASP) ist eine gemeinnützige Stiftung, die sich darum bemüht, Software im Internet sicherer zu machen. Ihre Top 10 ist ein weithin anerkannter Bericht, der die 10 kritischsten Sicherheitsrisiken für Webanwendungen auflistet. Es handelt sich im Wesentlichen um eine Checkliste der häufigsten Schwachstellen, die Ihre Anwendung zu einem Ziel für Cyber-Bedrohungen machen könnten.

Warum sollten Sie sich für die OWASP Top 10 interessieren?

Bei den OWASP Top 10 geht es um Risikomanagement. Die Behebung der in den OWASP Top 10 hervorgehobenen Schwachstellen hilft Ihnen, das Risiko einer Sicherheitsverletzung zu mindern, sichereren Code zu entwickeln und eine sicherere Anwendung zu erstellen.

Die Befolgung der OWASP Top 10 ist auch ein kluger Schachzug, um die gesetzlichen Standards einzuhalten und den Benutzern das Vertrauen in Ihr Engagement für bewährte Sicherheitsverfahren zu geben. Wenn Ihre Anwendung mit sensiblen Daten arbeitet, wollen Ihre Benutzer wissen, dass sie sicher ist.

Die OWASP-Checkliste wird etwa alle drei oder vier Jahre aktualisiert; die letzte Aktualisierung erfolgte 2021. Jedes Mal wird sie konsolidiert, umbenannt und neu geordnet, da die Schwachstellen und Bedrohungen in ihrem Schweregrad steigen und fallen. Wenn Sie sich der aktuellen Gefahren bewusst sind, können Sie wissen, wo Sie anfangen müssen und welche kritischen Risiken sofortige Aufmerksamkeit erfordern.

Werfen wir einen Blick auf die jüngste Checkliste.

OWASP Top 10 der Sicherheitsrisiken von Webanwendungen

1. Defekte Zugangskontrolle

Beschränkungen, was authentifizierte Benutzer tun dürfen, werden oft nicht durchgesetzt. Hacker können diese Schwachstellen ausnutzen, um auf nicht autorisierte Funktionen und/oder Daten zuzugreifen. Sie könnten auf andere Benutzerkonten zugreifen, sensible Dateien einsehen, Daten ändern oder zerstören und Zugriffsrechte ändern. Am Ende könnten sie sogar über Administratorrechte für das gesamte System verfügen. Die OWASP Top 10 betont hier eine wesentliche Regel: außer für öffentliche Ressourcen, standardmäßig verweigern.

2. Kryptographische Ausfälle

Viele Webanwendungen schützen sensible Daten wie Kreditkarten, Authentifizierungsdaten, Gesundheitsdaten und andere persönliche Daten nicht ausreichend. Angreifer können unzureichend geschützte Daten stehlen oder verändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Straftaten zu begehen. Bei Unternehmen müssen geistiges Eigentum und andere secrets geschützt werden. Stellen Sie sicher, dass Sie den Schutzbedarf von Daten bei der Übertragung und im Ruhezustand bewerten. Und überprüfen Sie regelmäßig alle Protokolle und Algorithmen auf Schwachstellen.

3. Einspritzung

Injection-Fehler treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage sendet. Angreifer können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder auf nicht autorisierte Daten zuzugreifen, was zu Datenverlust, Beschädigung oder unbefugtem Zugriff führt. Die Überprüfung des Quellcodes ist hier hilfreich, ebenso wie der konsequente Einsatz von Tools zum Testen der Anwendungssicherheit vor dem Einsatz in der Produktion.

4. Unsichere Konstruktion

OWASP empfiehlt nachdrücklich, dass die Sicherheit bereits vor der Programmierung beginnen muss. Design- oder Architekturfehler können einer Anwendung zum Verhängnis werden, selbst wenn sie sicher implementiert ist. Diese Phase vor der Programmierung muss mehr Bedrohungsmodellierung, sichere Entwurfsmuster und -prinzipien sowie Referenzarchitekturen umfassen. Sie muss ein Gleichgewicht zwischen geschäftlichen und technischen Anforderungen herstellen und einen kühlen Blick auf die Erstellung von Geschäftsrisikoprofilen werfen.

5. Fehlkonfiguration der Sicherheit

Das Risiko einer Fehlkonfiguration bezieht sich auf die unsachgemäße Implementierung von Kontrollen zum Schutz von Anwendungsdaten, z. B. Fehler in Sicherheitseinstellungen, Software-Updates, Server-Konfigurationsdateien oder Anwendungsfunktionen und -seiten. Sie können diese Risiken weitestgehend eindämmen, indem Sie die Plattform auf ein Minimum beschränken. Verzichten Sie auf unnötige Funktionen, Frameworks und Komponenten. Das Fazit der OWASP Top 10 lautet: Deaktivieren Sie Standardkonten und -kennwörter, sorgen Sie dafür, dass die Fehlerbehandlung nicht zu viele Informationen preisgibt, und halten Sie alles gepatcht und aktualisiert.

6. Anfällige und überholte Komponenten

Komponenten, wie z. B. Bibliotheken, Frameworks und andere Softwaremodule, werden mit denselben Berechtigungen wie die Anwendung ausgeführt. Wenn eine anfällige Komponente ausgenutzt wird, kann ein Angriff zu schwerwiegenden Datenverlusten oder sogar zu einer kompletten Übernahme des Servers führen. Sie müssen die Versionen kennen, die Sie sowohl auf der Client- als auch auf der Serverseite verwenden, regelmäßig nach Schwachstellen suchen und die Security Bulletins im Auge behalten. Am wichtigsten ist jedoch, so OWASP, dass Sie nicht einfach jeden Monat oder jedes Quartal einen Patch aufspielen, da dies Ihre Anwendung ungeschützt und gefährdet lässt.

7. Fehler bei der Identifizierung und Authentifizierung

Wenn die Authentifizierungs- und Sitzungsverwaltungsfunktionen Ihrer Anwendung nicht korrekt implementiert sind, können Angreifer Passwörter, Schlüssel oder Sitzungs-Tokens kompromittieren oder andere Implementierungsfehler ausnutzen, um andere Identitäten anzunehmen. Die OWASP Top 10 warnt vor schwachen Passwörtern, der Wiederverwendung von Sitzungskennungen, schwachen Wiederherstellungsprozessen oder dem Zulassen automatisierter Angriffe. Wenn es möglich ist, sollten Sie hier eine Multi-Faktor-Authentifizierung und eine Reihe von einfachen, vernünftigen Authentifizierungsmaßnahmen einsetzen.

8. Software- und Datenintegritätsmängel

Software- und Datenintegritätsfehler können auftreten, wenn Anwendungen von nicht vertrauenswürdigen Quellen wie Plugins oder Bibliotheken abhängen. Außerdem können unsichere CI/CD-Pipelines zu unbefugtem Zugriff oder sogar zur Kompromittierung des Systems führen. Ein weiteres Risiko geht von automatischen Aktualisierungsfunktionen aus, die die Integrität nicht ausreichend überprüfen, sowie von unsicheren Methoden zur Organisation von Datenstrukturen. Um diese Risiken zu vermeiden, sollte Ihr Team digitale Signaturen verwenden. Diese können die Sicherheit von Software oder Daten bestätigen. Stellen Sie sicher, dass Sie nur vertrauenswürdige Repositories für Bibliotheken und Abhängigkeiten verwenden. Außerdem sollten Sie Sicherheitswerkzeuge für die Software-Lieferkette einsetzen, um auf bekannte Schwachstellen zu prüfen. OWASP empfiehlt, einen Überprüfungsprozess für Code- und Konfigurationsänderungen beizubehalten und eine angemessene Zugriffskontrolle für die CI/CD-Pipeline einzurichten. Schließlich sollten Sie keine unsignierten oder unverschlüsselten serialisierten Daten an Clients senden, es sei denn, Sie haben sie auf Integrität geprüft oder eine digitale Signatur hinzugefügt.

9. Sicherheitsprotokollierung und Überwachung von Fehlern

Eine unzureichende Protokollierung und Überwachung in Verbindung mit einer fehlenden oder unwirksamen Integration in die Reaktion auf Vorfälle ermöglicht es Angreifern, Systeme anzugreifen, die Persistenz aufrechtzuerhalten, auf weitere Systeme auszuweichen und Daten zu manipulieren, zu extrahieren oder zu zerstören. Neben anderen Maßnahmen empfiehlt die OWASP Top 10, dass Sie alle Ereignisse wie Anmeldungen und fehlgeschlagene Anmeldungen protokollieren sollten, dass Warnungen und Fehler eindeutige Protokollmeldungen erzeugen sollten und dass Protokolle niemals nur lokal gespeichert werden sollten. Das Sichtbarmachen von Protokollierungs- und Alarmierungsereignissen für den Benutzer stellt ebenfalls eine Risikoquelle dar.

10. Server-seitige Anforderungsfälschung

Server Side Request Forgery (SSRF)-Probleme treten auf, wenn eine Webanwendung Daten von einer entfernten Quelle abruft, ohne die vom Benutzer angegebene URL zu überprüfen. Auf diese Weise können Angreifer eine Anwendung dazu bringen, Anfragen an unerwünschte Stellen zu senden und sogar Netzwerksicherheitsmaßnahmen zu umgehen. OWASP glaubt, dass diese Probleme immer häufiger auftreten, da moderne Webanwendungen häufig URLs abrufen müssen. Die Risiken werden durch die Nutzung von Cloud-Diensten und komplexen Systemen immer größer. Auch hier ist der "Deny-by-default"-Ansatz auf der Netzwerkzugangsebene der richtige Weg. Und auch auf der Anwendungsebene gibt es eine Reihe von Maßnahmen zu ergreifen.

Ich habe einen Blog über einen realen Anwendungsfall geschrieben, den Sie sich gerne ansehen können.

Warum die OWASP Top 10?

Die OWASP Top 10 ist nicht nur eine Liste von Problemen, sondern auch ein Leitfaden für Lösungen. Jeder Punkt auf der Checkliste enthält einen Abschnitt darüber, wie die Schwachstelle verhindert werden kann, sowie Beispiel-Angriffsszenarien, die Entwicklern praktische Schritte zur Verbesserung der Sicherheit ihrer Anwendung an die Hand geben. Die Sicherung Ihrer Anwendung ist ein fortlaufender Prozess, und es tauchen ständig neue Bedrohungen auf. Wenn Sie wachsam bleiben und die Sicherheit zu einer Priorität machen, können Sie Ihre Anwendung und Ihre Benutzer schützen.

Und für Unternehmen ist die OWASP Top 10 nicht nur eine Checkliste, sondern auch ein Gesprächsanlass. Es ist ein Tool, das die Sicherheit in den Vordergrund des Entwicklungsprozesses rückt und eine Kultur des Sicherheitsbewusstseins in Ihrem Unternehmen fördert. Indem Sie sich auf die OWASP Top 10 konzentrieren, verbessern Sie nicht nur die Sicherheit Ihrer Anwendung, sondern machen Sicherheit zu einem zentralen Bestandteil Ihres Entwicklungsprozesses.

Wenn Sie ein Cloud-natives Unternehmen sind, können Sie mit Aikido jetzt ganz einfach Ihre Entwicklungsumgebung auf die OWASP Top 10 überprüfen. Unsere Test-Tools und Sicherheitsberichte liefern Ihnen eine klare OWASP Top 10-Bewertung und eine Analyse der Maßnahmen, die zur Vermeidung jeder Schwachstelle ergriffen wurden. Sie können die Berichte an Ihre Stakeholder weitergeben und sie nutzen, um einen schnellen Überblick darüber zu erhalten, auf welche Sicherheitspraktiken Sie sich konzentrieren müssen.

Scannen Sie jetzt Ihre Umgebung mit Aikido und holen Sie sich Ihre OWASP Top 10 Punkte.

Wie können Sie häufige Fehler bei der Erstellung eines SaaS-Administrationspanels vermeiden? Wir werden einige Fallstricke und mögliche Lösungen speziell für alle SaaS-Entwickler da draußen aufzeigen!

Was passiert, wenn Sie eine SaaS-Anwendung entwickeln, die mehr als ein paar Kunden hat? Irgendwann passiert das Unvermeidliche! Ihre Vertriebs- und Kundenerfolgsmitarbeiter kommen zum Entwicklungsteam mit Anforderungen wie:

• Zeigen Sie mir, welche Konten aktiv genutzt werden
• Erlauben Sie mir, ein Kundenkonto für den technischen Support anzulegen
• Aktivieren oder Deaktivieren eines bestimmten Funktionsmerkmals für ein bestimmtes Konto
• Einige Benutzer können sich nicht anmelden. Können Sie mir sagen, welche Methode sie für die Authentifizierung verwenden?
• Ich habe einen Wiederverkäufer und er braucht Zugang zu seinen Unterkonten
• Ich muss eine kostenlose Testphase für ein Konto verlängern
• Ein Konto benötigt eine bestimmte Konfiguration, die nur Kundenerfolgsagenten einrichten können sollten.
• Zeigen Sie mir die gesamte MRR für eine bestimmte Kundengruppe.

Eine Vielzahl von Tools kann einige dieser Anwendungsfälle abdecken. PLG-Tools wie Segment und journy.io können die Aktivität verfolgen. Vielleicht verwenden Sie einen Feature-Flag-Dienst wie LaunchDarkly. Stripe oder Chargebee könnten einige der abrechnungsrelevanten Aspekte verwalten. In der Zwischenzeit könnten Probleme im Zusammenhang mit der Authentifizierung in Ihrem Auth0-Konto sichtbar werden. Es ist jedoch unwahrscheinlich, dass Sie alle diese Plattformen nutzen. Selbst wenn dies der Fall ist, können Sie wahrscheinlich einige Anwendungsfälle nicht abdecken.

Die Lösung ist der Aufbau eines benutzerdefinierten Admin-Panels. Es scheint einige Frameworks und kommerzielle Dienste zu geben, mit denen man schnell anfangen kann. Aber wie entscheiden Sie sich für ein solches System, anstatt Ihr eigenes von Grund auf neu zu entwickeln?

Vermeiden Sie in Ihre Anwendung integrierte Administrationspanels

Grundsätzlich ist es ratsam, ein Admin-Panel zu vermeiden, das in den Code der Hauptanwendung integriert ist, wie es ActiveAdmin tut. Dies hat viele Nachteile:

• Neue Admin-API-Routen können wahrscheinlich im Client-Code Ihrer Anwendung erkannt werden, und Angreifer können diese Schwachstelle untersuchen oder angreifen
• Sie werden wahrscheinlich mehrere Arten von Benutzern innerhalb einer Codebasis haben, was die Überprüfung der Zugriffskontrolle erschwert.
• Das Hinzufügen zusätzlicher Schutzfunktionen, wie z. B. die Beschränkung des Zugriffs von einer einzigen IP-Adresse aus, wird sehr viel schwieriger sein
• Wenn ein kritisches Problem im Code des Admin-Panels entdeckt wird, ist es schwieriger, es offline zu nehmen, ohne die App offline zu nehmen.

Apps, die sich nicht an dieses Prinzip halten, haben eine höhere Chance, in Slashdot-Stories zu landen. Hier ist eine: https://yro.slashdot.org/story/23/01/09/221207/researchers-track-gps-location-of-all-of-californias-new-digital-license-plates. Diese Geschichte zeigt, dass es möglich ist, ein Benutzerkonto zu einem Super-Admin-Konto zu erweitern, das die Daten anderer Benutzer einsehen kann.

Wählen Sie eine Verwaltungskonsole mit einem Protokoll der Benutzeraktionen

Für den Fall, dass es gesagt werden muss, bedeutet dies, dass sich Ihre Administratoren mit separaten Benutzerkonten authentifizieren müssen. (Kein Einloggen mit einem gemeinsamen Passwort über support@app.io !). Was ist der Vorteil davon? Wenn irgendwelche sensiblen Kontoeinstellungen aktualisiert werden, können Sie später herausfinden, wer die Änderung vorgenommen hat.

Erzwingen Sie mindestens 2FA (oder 3FA) zur Authentifizierung von Verwaltungsbenutzern

Wählen Sie eine Admin-Panel-Lösung, die es Ihnen ermöglicht, zusätzlich zu 2FA weitere Faktoren wie IP-Beschränkungen oder den Zugriff über andere Zero-Trust-Lösungen hinzuzufügen.

Bonus: Verwenden Sie Content Security Policy (CSP)-Header, um unbekanntes Javascript zu blockieren

Das Blockieren von unbekanntem Javascript ist von entscheidender Bedeutung, insbesondere bei internen Verwaltungsportalen. Nachfolgend ein Beispiel dafür, wie Apple für eine E-Mail-Injektionsschwachstelle anfällig war, die mit einfachen CSP-Headern hätte behoben werden können.

Dieser Tweet erinnerte mich an eine Zeit, in der ich im Rahmen des Bug Bounty Programms von Apple hackte. Ich fand ausgerechnet ein base64-kodiertes Harry Potter-Zitat auf einer internen iCloud-Konto-Debug- und Verwaltungsseite. Dies ist das erste Mal, dass ich dies teile, da mehr als 90 Tage vergangen sind ... https://t.co/CBc8QC5y3i pic.twitter.com/BNauDq7w01

- Sam Curry (@samwcyo) Dezember 24, 2023

Abschließende Überlegungen zum Aufbau einer sicheren Administrationsoberfläche

Ja, es ist möglich, ein sicheres Admin-Panel für Ihre App zu erstellen. Sie müssen entweder ein Framework wählen, das Ihnen hilft, oder eine bestehende SaaS- oder Low-Code-Lösung, die Ihnen den Einstieg erleichtert. Solange Sie es von Ihrer Hauptanwendung getrennt halten und es über private APIs mit Ihrer Hauptanwendung kommuniziert, sollten Sie damit zurechtkommen.

Aikido ist ein All-in-One-Tool für die Anwendungssicherheit. Möchten Sie sehen, ob Ihre Anwendung sicher ist? Starten Sie den kostenlosen Scan.