Durch die weltweite Vernetzung ändert sich die Bedrohungslage für IT-Systeme laufend. Sensible Daten und komplexe Individualsoftware müssen vor Missbrauch über die ständig neu veröffentlichen Schwachstellen geschützt werden. Eine Firewall allein reicht dabei nicht - und ein Checklistenaudit wird den vielfältigen Anforderungen individueller Software in einem dynamischen Umfeld nicht gerecht. Die CI Security Consultants verankern IT-Sicherheit deshalb dort, wo sie wirkt: als Rolle in Ihrem agilen Entwicklungsteam, in Ihrem Code und in Ihrer Betriebsumgebung.
Web Application Security bei Cologne Intelligence basiert auf drei Säulen: dem Security Concept, Secure Development sowie dem sicheren Betrieb von Web Anwendungen. Hinzu kommt der Security Champion als disziplinübergreifende Rolle: Zum einen kommen unsere Security Consultants als Sicherheitsprofis in Ihr Team und bearbeiten dort konkrete Fragestellungen, zum anderen sensibilisieren und schulen sie Ihre Entwickler*innen.
Das Security Concept enthält konkrete Maßnahmenempfehlungen für neue oder bereits bestehende Anwendungen und dokumentiert nachvollziehbar deren Sicherheit. Damit bildet es die Basis für Security by Design. Im ersten Schritt arbeiten sich unsere Consultants über Interviews und Workshops intensiv in Ihre Anforderungen und Systeme ein.
Wie geht eigentlich Threat Modeling? In unserem Blog geben wir einen ausführlichen Einblick!
Während der Schutzbedarfsfeststellung identifizieren wir mit Ihnen, welche Daten und Systeme wie schutzbedürftig sind und gegen welche potenziellen Angreifer*innen ein Schutz erfolgen muss. Diese Einstufung bildet die Basis für die Auswahl angemessener Maßnahmen. Einen ersten grundlegenden Schutz über alle definierten Komponenten Ihrer Anwendung erreichen wir mit der Baseline-Security. Dazu werden Standards und Architektur-Pattern eingesetzt. Wenn der Schutzbedarf es erfordert, gehen wir im Threat Modeling einen Schritt weiter. Dabei nutzen wir das Wissen und die Kreativität des Teams, um Bedrohungen zu erkennen und durch individuelle Maßnahmen zu verhindern. Unsere langjährige Erfahrung in der agilen Software-Entwicklung hilft uns, Architekturen zu bewerten, zu optimieren und auf Ihre Prozesse abzustimmen. So gelingt es, einen nachhaltigen und wirkungsvollen Security-by-Design-Ansatz im Konzept zu etablieren.
Durch agile Entwicklungsmethoden werden die Zyklen, in denen Software aus der Entwicklung in die Produktion gelangt, immer kürzer. Gleichzeitig steigt mit der Komplexität der Systeme auch die Gefahr, durch einen vermeintlich harmlosen Bug eine große Sicherheitslücke zu verursachen. Umso wichtiger ist es, sicherheitsrelevante Fehler in Anwendungen und Bibliotheken bereits vor der Livestellung auf Code-Ebene zu identifizieren und zu beheben.
Übrigens: Der Aufwand für nachträgliches Troubleshooting ist extrem hoch. Laut National Institute of Standards and Technology (NIST) kostet es 10 Mal weniger, Verwundbarkeiten bereits in der Entwicklungsphase zu identifizieren, als später in der Testphase.
Ist Ihre Anwendung gut konzipiert und solide entwickelt, muss sie noch sicher betrieben werden. Ein sicherer Anwendungsbetrieb erfordert regelmäßige Security Scans, ein effektives Monitoring und ein funktionierendes Patch Management. Wir helfen Ihnen, Systeme auf Anwendungsebene zu härten und geeignete Architekturen aufzubauen.
Sie haben bereits eine Anwendung im Betrieb und möchten die IT Sicherheit stärken ohne die Anwendung anpassen zu müssen? Dabei können zusätzliche betriebliche Maßnahmen helfen, wie z.B. der Einsatz einer Web Application Firewall (WAF). Hierzu können wir Sie neutral beraten, da wir keine Produkte vertreiben.
Nachhaltige IT-Sicherheit muss aus dem Entwicklungsteam kommen. Dieses ist jedoch in der Regel voll und ganz mit der Weiterentwicklung einer Anwendung und neuer Features beschäftigt. Im Tagesgeschäft verliert die IT-Sicherheit daher häufig an Priorität – insbesondere dann, wenn Entwickler*innen zwar ahnen, dass ein gewählter Ansatz unsicher ist, aber die Expertise für eine sichere Lösung fehlt und/oder die Recherche zeitaufwendig ist. Deshalb integriert sich der CI Security Champion in Ihr agiles Entwicklerteam und stellt so IT-Security Know-how dort bereit, wo es benötigt wird. Er führt aktiv sicherheitsrelevante Methoden und Best-Practice-Lösungen ein, teilt sein umfangreiches Wissen und etabliert eine moderne Sicherheitskultur in Ihrem Projekt oder Unternehmen. Die Entwickler*innen können sich wieder auf Gestaltung und Funktionalität der Software konzentrieren. Dabei unterstützt Sie der CI Security Champion zuverlässig in allen Phasen des Software Development LifeCycles (SDLC).