30.03.2014, 00:00 Uhr
Neue Methode spürt Schwachstellen von IT-Anwendungen zuverlässig auf
Eine innovative Methode, Sicherheitsschwachstellen in Software-Anwendungen automatisiert exakt zu ermitteln und aus einer realen Risiko-Perspektive heraus zu bewerten, hat OpenSky jetzt beim US-Patentamt angemeldet. Mit dem Verfahren unter dem Titel "Schwachstellen-Risiko-Bewertung für Computer-Anwendungen in der Entwicklung" schliesst die US-Tochter für Informationssicherheit von TÜV Rheinland eine wichtige Lücke im Bereich Application Security.
Das System unter der Patent-Nummer 61/901,906 ist in Ansatz und Design einmalig. Es geht weit über die üblichen Verfahren der Schwachstellen-Risiko-Evaluierung (CVSS, CWE und CAPEC) hinaus. "Unsere Methode erlaubt uns eine neue Qualität der Risiko-Bewertung, weil wir neben den herkömmlichen technischen Faktoren unter anderem auch Zweck und Kontext der Anwendung berücksichtigen können", erklärt Mark Wireman, der Entwickler der neuen Methode bei OpenSky.
Das revolutionäre Verfahren bezieht nicht nur die Schlüssel-Attribute der Anwendung mit ein, sondern beachtet auch andere relevante Faktoren, die aus technischen Gründen bislang nicht automatisch zu erfassen waren, darunter die Daten-Klassifizierung, Authentifizierung, Kohäsion, Datentyp, Komplexität oder die Verknüpfung innerhalb des Unternehmens. "Jetzt können wir die tatsächlichen Mängel nicht nur zuverlässig aufdecken, sondern darüber hinaus automatisiert zwischen echten Risiken und blossen Schwachstellen unterscheiden. Damit stellen wir Unternehmen eine ganz andere Entscheidungsgrundlage für die Priorisierung der Mängelbeseitigung bereit." Die Methode lässt sich sowohl auf bereits in Betrieb genommene Applikationen als auch auf Software anwenden, die sich noch in der Entwicklung befindet.
Software-Sicherheit hat für viele Organisationen eine zunehmend höhere Relevanz. Denn gezielte Angriffe auf Anwendungen und Daten erfolgen immer häufiger auch über mobile Geräte und Cloud-Systeme. Die zügige flächendeckende Einführung wirksamer Erkennungs- und Schutzkonzepte im Bereich Applikationssicherheit ist deshalb so wichtig wie nie zuvor.
Bisherige Analyse- und Evaluations-Ansätze haben sich allerdings als unzureichend erwiesen. "Noch investieren Firmen viel Zeit und Geld in den Versuch, fehlerhaft ermittelte Schwachstellen in den eigenen Software-Anwendungen wieder zu beseitigen", weiss Olaf Siemens, Vice President Information Security bei TÜV Rheinland. "Mit der neuen Methode von OpenSky können sich Unternehmen auf die Mängel in ihren Anwendungen konzentrieren, die wirklich sicherheitsrelevant sind", so der Experte für Informationssicherheit.
"Wir sind überzeugt, dass sich mit dem neuen Verfahren die Software-Sicherheit in vielen Branchen steigern lässt, allen voran im Gesundheits- und Versicherungswesen, aber auch in der Vermögensverwaltung, der Finanzbranche sowie in Bildung und Industrie." (ph/w&m)
Info: www.tuv.com/informationssicherheit
Das revolutionäre Verfahren bezieht nicht nur die Schlüssel-Attribute der Anwendung mit ein, sondern beachtet auch andere relevante Faktoren, die aus technischen Gründen bislang nicht automatisch zu erfassen waren, darunter die Daten-Klassifizierung, Authentifizierung, Kohäsion, Datentyp, Komplexität oder die Verknüpfung innerhalb des Unternehmens. "Jetzt können wir die tatsächlichen Mängel nicht nur zuverlässig aufdecken, sondern darüber hinaus automatisiert zwischen echten Risiken und blossen Schwachstellen unterscheiden. Damit stellen wir Unternehmen eine ganz andere Entscheidungsgrundlage für die Priorisierung der Mängelbeseitigung bereit." Die Methode lässt sich sowohl auf bereits in Betrieb genommene Applikationen als auch auf Software anwenden, die sich noch in der Entwicklung befindet.
Software-Sicherheit hat für viele Organisationen eine zunehmend höhere Relevanz. Denn gezielte Angriffe auf Anwendungen und Daten erfolgen immer häufiger auch über mobile Geräte und Cloud-Systeme. Die zügige flächendeckende Einführung wirksamer Erkennungs- und Schutzkonzepte im Bereich Applikationssicherheit ist deshalb so wichtig wie nie zuvor.
Bisherige Analyse- und Evaluations-Ansätze haben sich allerdings als unzureichend erwiesen. "Noch investieren Firmen viel Zeit und Geld in den Versuch, fehlerhaft ermittelte Schwachstellen in den eigenen Software-Anwendungen wieder zu beseitigen", weiss Olaf Siemens, Vice President Information Security bei TÜV Rheinland. "Mit der neuen Methode von OpenSky können sich Unternehmen auf die Mängel in ihren Anwendungen konzentrieren, die wirklich sicherheitsrelevant sind", so der Experte für Informationssicherheit.
"Wir sind überzeugt, dass sich mit dem neuen Verfahren die Software-Sicherheit in vielen Branchen steigern lässt, allen voran im Gesundheits- und Versicherungswesen, aber auch in der Vermögensverwaltung, der Finanzbranche sowie in Bildung und Industrie." (ph/w&m)
Info: www.tuv.com/informationssicherheit
