“If you do DevOps properly, it has to have security in it. Understanding how that works is DevSecOps.” – Mike Bursell, chief security architect at Red Hat.
Das Bedürfnis nach Sicherheit ist in der digitalen Welt heute aktueller denn je zuvor. Täglich werden Applikationen unfreiwillig von Angreifern auf ihre Sicherheit geprüft und öfters als gewollt, gelangen sensible Daten an Dritte. Gerade dort, wo mit persönlichen und vertraulichen Daten gearbeitet wird, ist die Gewährleistung eines hohen Sicherheitsstandards ein primäres Ziel. Die durch Puzzle entwickelte Nationale Datenbank Sport (NDS) ist eine Applikation, die ein erhöhtes Sicherheitsbedürfnis hat. In vielen älteren Projekten wird leider die Sicherheit im Rahmen der Wartung oder aus finanziellen Gründen vernachlässigt. Allerdings wäre es in aller Regel am günstigsten, schon während der initialen Realisierung einer Applikation auf alle Security-Aspekte einzugehen. Da Security Issues aber nicht immer von vornherein bekannt sind ist der Umbau von Komponenten nötig, aber halt wesentlich aufwändiger.
Open Web Application Security Project
Um Software-Entwickler zu sensibilisieren, hat die Open Web Application Security Project Foundation (kurz OWASP) das OWASP-Top Ten Projekt ins Leben gerufen. Dieses hat zum Ziel, kontinuierlich die bekanntesten und häufigsten Anfälligkeiten moderner Webapplikationen zu sammeln und durch Sicherheitsfachleute weltweit zu evaluieren. Die Anfälligkeiten werden dann anhand ihrer Auswirkung und Häufigkeit rangiert. Der ausführliche Report der Top Ten wird regelmässig aktualisiert und online publiziert. Inzwischen geniesst diese Top Ten Liste ein stattliches Ansehen in der Softwareentwickler-Szene und hat sich als Entwicklungsstandard etabliert.
Neben ihrem Projekt der ‘Top Ten’ bietet die OWASP Foundation das ‘Zed Attack Proxy’, kurz OWASP ZAP an, welches Security Testing für Entwickler wie auch Sicherheitsfachleute vereinfacht. An dieser Stelle möchte ich gerne auf drei Hauptfeatures ein wenig genauer eingehen:
- Passiver Scan
Im passiven Scanmodus wird das OWASP ZAP als Proxy zwischen Client und Applikation geschalten. Sobald der Client nun auf der Applikation navigiert, liest und analysiert das ZAP alle ein- und ausgehenden Nachrichten. Der passive Scanmodus ist komplett sicher zu benutzen, da er keine aktiven Attacken ausführt. - Aktiver Scan
Der aktive Scan führt, wie der Name schon vermuten lässt, aktiv Attacken gegen das Ziel aus. Das OWASP ZAP Tool testet so die Applikation gegen die bekannten Sicherheitslücken. Wichtig zu erwähnen ist, dass logische Verwundbarkeiten und logische Fehler so nicht gefunden werden können. - Spider
Die Spinne funktioniert wie ein gewöhnlicher Crawler: sie startet an einem gegebenen Startpunkt und sucht alle von da aus erreichbaren Punkte und URLs der Applikation und traversiert so rekursiv die ganze Applikation und analysiert alle Antworten, die sie unterwegs einlesen kann.
Aus DevOps wird DevSecOps
In der heutigen DevOps Welt ist der Entwicklungsprozess optimiert und effizient. Es ist ein häufiges Missverständnis, dass Security den Prozess langsamer macht. In der Realität beweist sich jedoch meist das Gegenteil. Wer kontinuierlich ein Augenmerk auf Sicherheit legt, erspart sich am Ende den Gau. In der Nationalen Datenbank Sport (kurz NDS) werden Sicherheitsscans sowie Penetrationstests dank dem OWASP ZAP Tool in unsere Build-Pipeline und so in den aktiven Entwicklungsprozess eingebunden. Die Applikation wird auf eine Testumgebung deployed und der Zed Attack Proxy führt seine Angriffe automatisiert durch und gibt einen Report über den aktuellen Stand aus. So wird sichergestellt, dass die Applikation laufend auf die gängigsten Sicherheitsprobleme geprüft wird.