Seite 3: Operations - sichere Betriebsprozesse

Inhaltsverzeichnis

Die Grenzen des Softwareentwicklungsprozesses beginnen zunehmend zu verschwimmen – und zwar nicht erst seit der rasanten Ausbreitung von DevOps. Ob der sichere Betrieb noch unter dem Titel "Sichere Softwareentwicklung" zu führen ist, bleibt jedem selbst überlassen. OWASP SAMM hat diesem Bereich jedenfalls einen eigenen Abschnitt im Reifegradmodell gewidmet.

Ein derart umfassendes Thema wie Sicherheit in den Betriebsprozessen lässt sich nicht vollständig in einem einzelnen Kapitel abbilden. Daher hat OWASP einige wesentliche Aktivitäten ausgewählt und in des Reifegradmodell integriert. Wer hierbei punkten will, muss sich vor allem mit dem Erkennen und Behandeln von Sicherheitsvorfällen und dem Härten der Betriebsumgebung befassen. Dem Thema Datenschutz und dem Umgang mit Legacy-Systemen hat OWASP zusätzlich unter der Klammer "Operational Management" Platz eingeräumt.

Die Vorgaben dulden auf einem niedrigen Reifegrad noch Log-Analyse, Basis-Best-Effort und Ad-hoc-Reaktion auf erkannte Angriffe für das Management von Sicherheitsvorfällen. Für eine verbesserte Umsetzung fordert OWASP SAMM den Einsatz eines qualifizierten Incident-Response-Teams und klar definierte Prozesse zum raschen und durch Werkzeuge gestützten Erkennen und Abarbeiten von Vorfällen. In der Praxis hat sich zusätzlich bewährt, regelmäßige Übungen durchzuführen, um auf den Ernstfall vorbereitet zu sein. Idealerweise trainieren Unternehmen dabei nicht nur das eigene Team, sondern binden darüber hinaus alle externen Dienstleister mit ein, die es im Anlassfall hinzuziehen muss.

Deutlich tiefer in den tagtäglichen Betrieb geht es bei den Themen Patch-Management und Härtung der Konfiguration hinein. In den beiden Bereichen ist die klare Empfehlung, mindestens einen Reifegrad von 2 auf der OWASP-SAMM-Skala anzustreben. Dafür müssen Teams die genannten Aktivitäten regelmäßig und systematisch über den gesamten Technologie-Stack durchführen. Das klingt auf den ersten Blick umfangreich, ist aber heutzutage als Grundschutz anzusehen. Wer den höchsten Reifegrad erreichen möchte, muss zusätzlich eine durchgängige Überwachung der Systeme in Bezug auf Konfigurationsänderungen und aktuellen Patch-Stand implementieren.

Das Thema Datenschutz ist seit dem Inkrafttreten der DSGVO ein zentrales Thema in der Security-Szene. Es gibt allerdings keinen guten Grund, hierfür in OWASP SAMM nach einer Anleitung zu suchen. Wer das Thema ernsthaft angeht, orientiert sich direkt an den Vorgaben der DSGVO. Wer sie befolgt und die Einhaltung im Betrieb automatisiert prüft, erhält bei OWASP SAMM die Bestnote in diesem Bereich.

Last, but not least: die Legacy-Systeme. Die Praxis zeigt immer wieder deutlich, dass Firmen Altsysteme häufig vernachlässigen oder gar vergessen. Oft sind es jedoch ebendiese, die kritische Schwachstellen aufweisen und einem Angreifer Tür und Tor zum internen Netzwerk öffnen. Um Legacy-Systeme ausreichend zu schützen, sollten Teams eine klare Roadmap definieren, wie sie deren verbleibenden Lebenszeit gestalten werden. Das Idealszenario eines raschen Abbaus ist oftmals nicht möglich. Daher sollten Unternehmen Strategien entwickeln, um die Systeme bestmöglich abzuschotten und zu überwachen, bis sie in einem geordneten Prozess die Altlasten durch ein modernes und resilientes System ersetzen können. Damit punkten sie schließlich bei OWASP SAMM.

Flexibles Sicherheitskonzept

OWASP SAMM bietet ein Framework zur Verbesserung des Softwareentwicklungsprozesses über alle Phasen hinweg. Dank der unterschiedlichen Reifegrade können Organisationen entscheiden, welches Security-Level sie in welchem Bereich anstreben. Die Entscheidung hängt maßgeblich vom Schutzbedarf der entwickelten Anwendungen ab.

Einige der empfohlenen Maßnahmen mögen nicht nur aufwendig erscheinen, sondern es in vielen Fällen durchaus sein. Der Artikel hat die gesamte Spannweite von OWASP SAMM aus der Vogelperspektive inklusive der höchsten Reifegrade betrachtet. Das richtige Schutzniveau für den eigenen Entwicklungsprozess zu finden, ist eine der ersten Aufgabe, die es bei der Umsetzung von OWASP SAMM zu bewältigen gibt. Hierfür sollten Teams mit einem Reifegrad-Assessment starten und herausfinden, wo sie derzeit stehen. Davon ausgehend können sie eine strukturierte Roadmap erstellen, die die Meilensteine bis zum angestrebten Zielreifegrad vorgibt.

Da es sich bei OWASP SAMM um einen freien Standard handelt, lassen sich alle relevanten Informationen zum Modell auf der offiziellen Webseite beziehen. Des Weiteren setzt sich die OWASP-SAMM-Deep-Dive-Reihe, die der Autor dieses Artikels als Blogreihe geschrieben hat, mit den einzelnen Aktivitäten im Detail auseinander und verprobt sie mit der gelebten Praxis.

Thomas Kerbl
ist seit über 15 Jahren als Security Berater bei SEC Consult tätig. In seiner Rolle als Principal Security Consultant und Teamleiter führt er nicht nur ein Expertenteam, sondern ist nach wie vor selbst in Kundenprojekten maßgeblich involviert. Seine aktuellen Schwerpunkte im Unternehmen sind die Bereiche "Sichere Software Entwicklung" und "Security Architektur".

(rme)