BillionPhotos.com - stock.adobe.
Anwendungen mit positivem oder negativem Ansatz schützen
Anwendungen lassen sich mit einem positiven oder negativen Security-Modell absichern. Beides ist mit Vorteilen und Herausforderungen verbunden. Eine Gegenüberstellung der Ansätze.
Ein effektives Anwendungssicherheitsmodell ist unerlässlich, um Anwendungen vor Bedrohungen und Schwachstellen zu schützen. Zwei gängige Modelle sind positive Sicherheit und negative Sicherheit. Beide Ansätze sichern Anwendungen, allerdings auf unterschiedliche Weise.
Im Allgemeinen lassen positive Sicherheitsmodelle nur genehmigten Datenverkehr und Aktionen zu und lehnen andere Anfragen ab, während negative Sicherheitsmodelle bekannten bösartigen Datenverkehr und Aktionen blockieren und alles andere zulassen.
Nachfolgend betrachten wir positive und negative Sicherheit für die Anwendungssicherheit und untersuchen, wie man sich für eine der beiden Optionen entscheidet.
Was ist das positive Sicherheitsmodell?
Positive Sicherheitsmodelle definieren, was erlaubt ist, und verbieten alles andere. In Bezug auf Anwendungssicherheit bedeutet positive Sicherheit, dass ein Ansatz der standardmäßigen Verweigerung verfolgt wird. Dies, indem genehmigte Verhaltensweisen, Datenverkehr, Dienste und Entitäten für Webanwendungen auf eine Zulassungsliste (Allowlist) gesetzt und alles, was nicht ausdrücklich erlaubt ist, abgelehnt wird.
Zu den Vorteilen des positiven Sicherheitsmodell für Anwendungen gehören unter anderem:
- Verhindert Zero-Day-Angriffe, da nur zulässige Verhaltensweisen und Datenverkehr für die Interaktion mit den Webanwendungen zugelassen werden.
- Reduziert Fehlalarme bei unbekanntem bösartigem Verhalten und Datenverkehr, da nur zugelassener eingehender Datenverkehr und Aktionen erlaubt sind.
- Verbessert die allgemeine Sicherheit der Angriffsfläche, da nur zugelassene Verhaltensweisen und Datenverkehr erlaubt sind.
Eine der größten Herausforderungen der positiven Sicherheit ist die Komplexität der Verwaltung. Sicherheitsteams müssen regelmäßig Zulassungslisten aktualisieren, um sicherzustellen, dass legitime und genehmigte Verhaltensweisen und Datenverkehr zugelassen werden.
Was ist das negative Sicherheitsmodell?
Negative Sicherheitsmodelle definieren, was nicht erlaubt ist, und lassen alles andere zu. In Bezug auf Anwendungssicherheit bedeutet negative Sicherheit, dass ein Ansatz der standardmäßigen Zulassung verfolgt wird. Dies, indem bekannte schädliche Verhaltensweisen, Datenverkehr, Dienste und Entitäten für Webanwendungen auf eine Sperrliste (Blocklist) gesetzt werden.
Zu den Vorteilen negativer Sicherheit gehören:
- Vereinfacht die anfängliche Implementierung, da der Schwerpunkt auf der Abwehr bekannter bösartiger Bedrohungen liegt.
- Reduziert Reibungsverluste bei der Benutzererfahrung, da der gesamte Datenverkehr mit Ausnahme des auf der Sperrliste aufgeführten Datenverkehrs zugelassen wird.
- Ermöglicht mehr Flexibilität für agile Unternehmen, da unbekannte positive Verhaltensweisen nicht verhindert werden.
Eine der größten Herausforderungen der negativen Sicherheit besteht darin, dass sie nur blockierte Verhaltensweisen verhindert und neue, unbekannte Bedrohungen möglicherweise unentdeckt bleiben.
Machen Sie sich mit den Vorteilen und Herausforderungen positiver und negativer Sicherheitsmodelle vertraut, um zu entscheiden, wie Sie die Webanwendungen in Ihrem Unternehmen am besten schützen können.
Das positive und negative Sicherheitsmodell im Vergleich
Das Ziel beider Modelle ist es, unerwünschten Datenverkehr und unerwünschtes Verhalten zu blockieren und guten Datenverkehr und erwünschtes Verhalten zuzulassen. Der Unterschied liegt darin, wie sie mit Datenverkehr und Verhalten umgehen.
| Eigenschaft |
Positives Sicherheitsmodell |
Negatives Sicherheitsmodell |
| Primäre Funktionalität |
Erlaubt nur als sicher definierte Verhaltensweisen und Datenverkehr; alle anderen werden blockiert. |
Blockiert nur Verhaltensweisen und Datenverkehr, die als unsicher definiert sind; alle anderen sind zulässig. |
| Technischer Ansatz |
Standardmäßig ablehnen mit Zulassungslisten (Allowlists). |
Standardmäßig zulassen unter Verwendung von Sperrlisten (Blocklists.) |
| Sicherheit |
Gilt als sicherer, da es verhindert, dass unbekannte Bedrohungen durchgelassen werden. |
Gilt als etwas weniger sicher, da unbekannte Bedrohungen durchgelassen werden könnten. |
| Benutzerfreundlichkeit |
Komplexer in der Umsetzung; höherer laufender Wartungsaufwand; technischer. |
Einfacher zu implementieren; erfordert Aktualisierungen, wenn neue Bedrohungen auftreten; weniger technisch. |
| Vorteile |
Hohe Sicherheit; begrenzt Angriffsflächen; wirksam gegen komplexe und unbekannte Bedrohungen. |
Einfachere Implementierung und Wartung; vorkonfigurierte Schutzmaßnahmen; reduziert Fehlalarme. |
| Nachteile |
Ressourcenintensiv; komplexe Implementierung; erhöhte Anzahl von Fehlalarmen. |
Anfällig für unbekannte und Zero-Day-Bedrohungen; erhöhte Anzahl von Fehlalarmen. |
Beide Modelle können Malware und andere böswillige Aktivitäten in der richtigen Situation abwehren. Bei der Betrachtung positiver und negativer Sicherheitsmodelle sollten Sie zunächst bestehende und frühere Trends im Netzwerkverkehr, im Nutzerverhalten sowie bei Sicherheitsverletzungen und Angriffen untersuchen. Ermitteln Sie, welches Sicherheitsmodell unter diesen Parametern am besten geeignet ist.
In den folgenden Szenarien kann ein positives Sicherheitsmodell in Betracht gezogen werden:
- Die Organisation benötigt eine strenge Kontrolle über den Gerätezugriff, den Netzwerkzugriff und die Systeminteraktionen.
- Die Organisation verwendet Apps und Netzwerke, die auf hochsensible Daten zugreifen, beispielsweise in den Bereichen Bankwesen, Finanzen, Gesundheitswesen und Behörden.
- Wenn es wichtiger ist, gutes Verhalten und guten Datenverkehr zu verstehen.
- Wenn die Betriebsumgebung und die Infrastruktur vorhersehbare, bekannte und verständliche Benutzer und Aktivitäten aufweisen.
In der Finanzbranche beispielsweise verwenden Banken positive Sicherheit, um Kundentransaktionen zu validieren. Dies trägt zur Betrugsbekämpfung bei, indem sichergestellt wird, dass nur zugelassene Kunden und Transaktionen genehmigt werden.
In den folgenden Szenarien könnte ein negatives Sicherheitsmodell der passende Ansatz sein:
- Die Netzwerkumgebung und -infrastruktur sind schnelllebiger und erfordern mehr Flexibilität und Anpassungsfähigkeit hinsichtlich des Zugriffs auf Webanwendungen.
- Das Unternehmen benötigt eine Echtzeit-Bedrohungserkennung ohne einschränkende Faktoren.
- Wenn bekannte Bedrohungen und Angriffe häufig auf die Umgebung abzielen.
- Wenn das Unternehmen die Regeln zur Identifizierung und Blockierung verdächtiger Signaturen schnell und einfach aktualisieren kann.
Negative Sicherheit eignet sich gut für sich schnell entwickelnde Anwendungen, ressourcenbeschränkte Organisationen und spezifische Sicherheitsmaßnahmen – beispielsweise zur Identifizierung und Blockierung bekannter Malware- und Ransomware-Varianten.
Einen hybriden Ansatz verfolgen
In den meisten Fällen geht es nicht um positive Sicherheit versus negative Sicherheit, sondern um positive Sicherheit und negative Sicherheit.
Unternehmen sollten einen hybriden Ansatz in Betracht ziehen, um die Vorteile beider Modelle zu nutzen. Verwenden Sie beispielsweise ein negatives Sicherheitsmodell als erste Präventionsmaßnahme, um bekannte böswillige Verhaltensweisen und Datenverkehr zu unterbinden. Fügen Sie positive Sicherheitsfunktionen hinzu, um die Abwehrmaßnahmen zu verstärken und Zero-Day-Bedrohungen zu verhindern.
Unternehmen, die eine Zero-Trust-Sicherheitsarchitektur einsetzen, verwenden häufig ein hybrides Modell. Dadurch können nur autorisierte Benutzer auf eine Anwendung zugreifen, während gleichzeitig kontinuierlich nach Bedrohungsakteuren gesucht wird.
Unabhängig vom Ansatz ist das Ziel jedes AppSec-Modells die Schaffung eines starken Anwendungssicherheitsprogramms, das Malware, Ransomware und andere Bedrohungen und Schwachstellen reduziert, indem Schäden erkannt und gemindert werden, bevor sie auftreten.
