IT Security September/Oktober 2023

More documents

Recommendations

Info

44 | IT-SA SPEZIAL Code Intelligence WIE KI DIE APPLICATION SECURITY NEU DEFINIERT Da Softwaresysteme immer größer, komplexer und vernetzter werden, entwickelt sich die Bedrohungslandschaft ständig weiter. Vielen Softwaretestverfahren und -tools sind nicht dazu geeignet, mit dieser Entwicklung Schritt zu halten, da vor allem auf Compliance ausgerichtete Sicherheitsbemühungen nur selten die tägliche Realität von Entwicklern berücksichtigt. Dadurch werden Softwaresysteme anfällig für potenziell katastrophale Sicherheitslücken wie log4shell. KI-gestützte Softwaretests sorgen also für einen Wandel. Nachfolgend erklären wir, warum der Aufstieg von KI-gestützten Testtools den kulturellen und verfahrenstechnischen Wandel einleitet, den wir so dringend brauchen, um sichere Anwendungen inmitten wachsender Komplexität zu entwickeln. Application Security muss Schritt halten 50 Prozent der Unternehmen erlebten im vergangenen Jahr einen API-Sicherheitsvorfall (Google Cloud, 2022). Dies ist nicht überraschend: Während Softwaresysteme immer größer und vernetzter werden, verwenden viele Bran- chen immer noch Softwaretestverfahren und -tools, die für die Bewältigung dieser Herausforderungen, unzureichend sind. In vielen Branchen, wie etwa im Finanzwesen, im Gesundheitswesen und in Behörden, werden Sicherheitsbemühungen durch Compliance bestimmt. Dies kann zwar ein wirksames Instrument sein, um sicherzustellen, dass Testing auf Managementebene berücksichtigt wird, reicht aber nicht aus, um der heutigen Bedrohungslandschaft zu begegnen. Compliance-basierte Security besteht zu großen Teilen aus maximal halb automatisierten Pentests, welche viele Nachteile haben: ➤ Unschlüssige Ergebnisse aufgrund mangelnder Messungen der Code Coverage ➤ Probleme werden erst spät gefunden, da die Tests nicht für jedes Deployment durchgeführt werden ➤ Tests kratzen aufgrund strikter Zeitvorgaben nur an der Oberfläche ➤ Tests sind angesichts ihres suboptimalen ROI übermäßig teuer Da bei diesem Ansatz die Code Coverage fehlt, werden die Tester mit den Angreifern gleichgesetzt, da sie keine Möglichkeit haben, festzustellen, welche Teile des Quellcodes von ihren Eingaben durchquert wurden. Da Angreifer oft nicht an Zeitvorgaben gebunden sind, könnte man sogar argumentieren, dass sie einen Vorteil haben. Dennoch sind Blackbox-Pentests aus Compliance- Sicht oft ausreichend. Wie KI-gestützte Softwaretests einen Vorsprung ermöglichen Mithilfe von KI können große Teile der Testfallerstellung automatisiert werden. Herkömmliche Testmethoden (etwa klassische Unit-Tests) verwenden wenige deterministische Testfälle, um auf Known-Uknowns zu testen, also einen Programmzustand, den der Tester als fehlerhaft vermutet. Durch die Erweiterung dieses Ansatzes mit selbstlernender KI können Entwickler jede Sekunde Tausende von zusätzlichen Testfällen generieren, um auf Unknown-Unknowns zu testen, das heißt, auf Fehler und Si- September/Oktober 2023 | www.it-daily.net
IT-SA SPEZIAL | 45 cherheitsprobleme, an die menschliche Intelligenz nie gedacht hätte. Durch den Einsatz genetischer Algorithmen können KI-gestützte White-Box- Tests Informationen über frühere Testläufe sammeln, die sie dann zur automatischen Generierung neuer Testeingaben nutzen können, um tiefer in den Quellcode einzudringen. Auf diese Weise erhalten die Entwickler vollen Einblick in die Code Coverage ihrer Tests und können tief verborgene Fehler und Sicherheitslücken aufdecken, die mit herkömmlichen Testtools nicht zu finden sind. Die Nutzung des Quellcodes auf diese Weise ist vergleichbar mit einem Labyrinth, bei dem man die Wege vollständig überblicken kann. Während ein Black- Box-Test dem Versuch entspräche, einen Pfad zu finden, der rein zufällig zu einem Fehler führt, decken KI-gestützte White-Box-Tests einfach alle Pfade ab. Bild 1 (schwarze Box): So arbeiten herkömmliche Black-Box Tools. Bild 2 (blaue Box): Und so KI-gestützte White-Box Tools Wie KI die Sicherheitsprozesse und -kultur verändert KI-gestützte Testtools ermöglichen es Entwicklern, die Sicherheit ihres Codes in die eigene Hand zu nehmen. Durch CI/CD-Integration können Entwickler ihren Code unabhängig auf tief verborgene Sicherheits- und Qualitätsprobleme testen. Diese Form der Testautomatisierung hat enorme kulturelle Auswirkungen, da sie tiefgehende Tests in jedes einzelne Pull Request einführt, beginnend in den frühen Phasen des SDLC. Ein wichtiger Punkt bei dieser Vorgehensweise ist die Frage, ob es sinnvoll ist, Entwickler die Verantwortung für das Testen zu übertragen oder nicht. Sind sie nicht ohnehin schon genug beschäftigt? Schließlich sollten KI-gestützte Testwerkzeuge nicht zu einer erhöhten Arbeitsbelastung für Entwickler führen. Genau aus diesem Grund ist es wichtig, dass KI-Testing-Tools automatisiert und in CI/CD-Prozesse integriert sind, damit sie nahtlos im Hintergrund laufen können. Entwickler können sich dann auf die Interpretation der Testergebnisse und die Behebung der Fehler konzentrieren. Auf diese Weise können automatisierte Testwerkzeuge den Entwicklungsprozess beschleunigen, indem sie es ermöglichen, versteckte Fehler und Schwachstellen zu finden und zu beheben, bevor sie in die Codebasis gelangen. DAS AUFKOMMEN VON KI-GESTÜTZTEN TEST- TOOLS VERSPRICHT ENORME AUSWIRKUN- GEN AUF DIE ART UND WEISE, WIE WIR SOFT- WARE ENTWICKELN, TESTEN UND SICHERN, Sergej Dechand, CEO und Co-Founder, Code Intelligence, www.code-intelligence.com Wer wird durch KI ersetzt? Es ist nicht zu erwarten, dass KI-fähige Testtools in naher Zukunft Menschen ersetzen werden; sie werden sie vielmehr in die Lage versetzen, nicht nur besseren, sondern auch sichereren Code zu produzieren. Selbst für Sicherheitsexperten wird der Aufstieg automatisierter Testtools nicht zu einem Ersatz führen, da die Sicherheit in der heutigen Landschaft immer wichtiger wird. Vielmehr werden automatisierte Sicherheitstools es Sicherheitsexperten ermöglichen, sich auf Bereiche zu fokussieren, die menschliches Fachwissen und kritisches Denken erfordern, wie etwa die Entwicklung robusterer Sicherheitsarchitekturen. KI wird Software robuster machen Letztendlich verspricht das Aufkommen von KI-gestützten Testtools enorme Auswirkungen auf die Art und Weise, wie wir Software entwickeln, testen und sichern, sowie auf unsere Vorstellung davon, wie Tests durchgeführt werden sollten. Langfristig könnte der Mensch in der Application Security überflüssig werden – oder auch nicht. Wer weiß das schon. Vorerst wird die Rolle der KI in der Sicherheit darin bestehen, Fehler an Stellen zu finden, an denen die menschliche Intelligenz niemals gesucht hätte, und den Entwicklern die Möglichkeit geben, sich auf das zu konzentrieren, was sie am besten können: Innovation. Sergej Dechand www.it-daily.net | September/Oktober 2023
Page 1 and 2: Detect. Protect. Respond. September
Page 3 and 4: INHALT | 3 Inhalt 04 COVERSTORY 4 T
Page 5 and 6: COVERSTORY | 5 interpretiert werden
Page 7 and 8: THOUGHT LEADERSHIP | 7 Security Ser
Page 9 and 10: THOUGHT LEADERSHIP | 9 haben, die s
Page 11 and 12: IT-SA SPEZIAL | 11 the place to be
Page 13 and 14: IT-SA SPEZIAL | 13 bei Organisation
Page 15 and 16: IT-SA SPEZIAL ADVERTORIAL | 15 Acce
Page 17 and 18: IT-SA SPEZIAL | 17 werden. Brieskor
Page 19 and 20: IT-SA SPEZIAL ADVERTORIAL | 19 Rans
Page 21 and 22: IT-SA SPEZIAL | 21 it security: Wor
Page 23 and 24: IT-SA SPEZIAL | 23 an, fällt ein T
Page 25 and 26: IT-SA SPEZIAL | 25 Außerdem erkenn
Page 27 and 28: IT-SA SPEZIAL ADVERTORIAL | 27 Mobi
Page 29 and 30: IT-SA SPEZIAL | 29 obwohl der Onboa
Page 31 and 32: IT-SA SPEZIAL ADVERTORIAL | 31 Die
Page 33 and 34: IT-SA SPEZIAL | 33 Carina Mitzschke
Page 35 and 36: IT-SA SPEZIAL | 35 Bild: ESET verd
Page 37 and 38: IT-SA SPEZIAL ADVERTORIAL | 37 Vers
Page 39 and 40: IT-SA SPEZIAL | 39 Auf dem macmon S
Page 41 and 42: IT-SA SPEZIAL ADVERTORIAL | 41 it-s
Page 43: 19.09.22 12:34 IT-SA SPEZIAL ADVERT
Page 47 and 48: IT-SA SPEZIAL | 47 Arbeitswelt der
Page 49 and 50: IT-SA SPEZIAL | 49 Directory-Konto
Page 51 and 52: IT-SA SPEZIAL ADVERTORIAL | 51 Sich
Page 53 and 54: IT-SA SPEZIAL | 53 durchführen, wo
Page 55 and 56: IT-SA SPEZIAL | 55 Cyberresilienz M
Page 57 and 58: IT SECURITY | 57 einander. Das Schw
Page 59 and 60: ADVERTORIAL | 59 Ganzheitliche mobi
Page 61 and 62: IT SECURITY | 61 müssen entspreche
Page 63 and 64: ADVERTORIAL | 63 Cloud-PAM WENN PRI
Page 65 and 66: IT SECURITY | 65 protekt 2023 KRITI
Page 67 and 68: ADVERTORIAL | 67 Die eigene Sicherh
Page 69 and 70: IT SECURITY | 69 samkeit erfahren,
Page 71 and 72: IT SECURITY | 71 Schritt sollten An
Page 73 and 74: IT SECURITY | 73 PDCA ZYKLUS • Ve
Page 75 and 76: IT SECURITY | 75 Krypto-Agilität D
Page 77 and 78: IT SECURITY | 77 Organisation Daten
Page 79 and 80: Data Lake: Die etwas ANDERE ART des

IT Security September/Oktober 2023

Create successful ePaper yourself

Delete template?

Save as template?