SQL Injection als Einfallstor

So können Unternehmen sich schützen

03.07.2015
Von 


Arved Graf von Stackelberg hat mehr als 12 Jahre Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungs-, Sicherheits- und Entwicklungsumfeld. Daneben bringt er beinahe 20 Jahre Führungserfahrung aus der IT-Industrie mit. Graf Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, das diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.

Tipps, wie Unternehmen SQL Injections verhindern

Immer das große Ganze im Auge behandeln

Cyber-Kriminelle verbessern ihre Taktiken unermüdlich und in schneller Abfolge. Dabei suchen sie immer nach dem Weg, der den geringsten Widerstand verspricht und werden zum Beispiel durch Schwachstellen wie SQL Injections fündig. Deshalb müssen Unternehmen kontinuierlich alle ihre Web-Anwendungen überprüfen - egal ob diese In-House oder extern entwickelt wurden, egal ob Anwendungen geschäftskritisch sind oder nicht und sowohl vor als auch nachdem sie eingesetzt werden. Vollständige Transparenz aller Perimeter von Web-Anwendungen ist eine wichtige Voraussetzung, um den Diebstahl von vertraulichen Kunden- und Unternehmensdaten zu verhindern.

Was umständlich klingt, muss nicht zwangsläufig eine mühsame Aufgabe sein, für die Unternehmen teure Berater engagieren und ihre Entwicklungszyklen verlangsamen müssen. Es gibt bereits automatisierte, SaaS-Assessment-Lösungen, die sich über Schnittstellen direkt in agile Entwicklungsprozesse integrieren lassen. Zudem können Unternehmen auf parallel-laufende, automatisch skalierende Cloud-Infrastrukturen zurückgreifen, um Tausende von Produktions-Webseiten gleichzeitig zu analysieren. Stationäre Server, die nur eine Handvoll Applikationen gleichzeitig scannen, gehören damit der Vergangenheit an. Um schnell unbekannte Seiten zu identifizieren, die sich außerhalb der Unternehmens-IP-Bandbreite befinden, lassen sich außerdem verschiedene Techniken kombinieren: DNS Keyword-Suchen, produktionssicheres Crawling, Analysen von Page Redirects und maschinelles Lernen. So werden in der Praxis durchschnittlich etwa 40 Prozent mehr Webseiten gefunden, als die, derer sich Unternehmen bewusst sind.

Kontinuierlich überwachen und testen

Nur wenn ein Unternehmen die komplette Bandbreite seiner Web-Perimeter kennt, lässt sich schnell erkennen, welche der Web-Anwendungen Schwachstellen für Angriffe wie SQLi und Cross-Site Scripting bieten. Aber: Alljährliche einmalige Ad-Hoc-Tests reichen da nicht aus. Vielmehr sollten Unternehmen auf automatisierte Cloud-basierte Lösungen zurückgreifen, um ihre Anwendungen kontinuierlich zu überprüfen. Nur so lassen sich Angriffe auf Anwendungsebene verhindern - auch gegen Angriffswellen wie Heartbleed und Shellshock.

Pragmatisch schonungslos sein

Natürlich können Unternehmen ihr Sicherheitsrisiko ganz schnell reduzieren, wenn sie "vergessene" oder ungepatchte Seiten, die nicht länger gebraucht werden, einfach abschalten - ein Quick Win. So rabiat müssen sie aber gar nicht sein, wenn sie die Intelligenz von automatisierten Sicherheits-Assessments in ihre Web Application Firewalls integrieren - sozusagen als "virtuellen Patch", der das Unternehmen so lange schützt bis etwaige Schwachstellen im Anwendungscode selbst behoben worden sind.

Fazit

Cyber-Kriminalität wird immer komplexer - es ist unmöglich, eine Unternehmensinfrastruktur aufzubauen, die komplett undurchdringbar ist. Dennoch haben Unternehmen die Möglichkeit und auch die Verantwortlichkeit, Risiken soweit wie möglich einzudämmen. Auf Anwendungsebene hilft das kontinuierliche Monitoring aller Applikationen mit skalierbaren und automatisierten Cloud-basierten Lösungen. (hal)