IT Security September/Oktober 2023
Top-Cyberschutz – Threat Intelligence und All-in-One-Ansatz Das perfekte Ziel für Cyberkriminelle – Warum man unbedingt auf Security-Services setzen sollte Cloud-Sandboxing – Bedrohungen frühzeitig erkennen Security Orchestration perfektioniert – Für einen besseren Schutz sorge
Top-Cyberschutz – Threat Intelligence und All-in-One-Ansatz
Das perfekte Ziel für Cyberkriminelle – Warum man unbedingt auf Security-Services setzen sollte
Cloud-Sandboxing – Bedrohungen frühzeitig erkennen
Security Orchestration perfektioniert – Für einen besseren Schutz sorge
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
44 | <strong>IT</strong>-SA SPEZIAL<br />
Code<br />
Intelligence<br />
WIE KI DIE APPLICATION<br />
SECUR<strong>IT</strong>Y NEU DEFINIERT<br />
Da Softwaresysteme immer größer, komplexer<br />
und vernetzter werden, entwickelt<br />
sich die Bedrohungslandschaft ständig<br />
weiter. Vielen Softwaretestverfahren und<br />
-tools sind nicht dazu geeignet, mit dieser<br />
Entwicklung Schritt zu halten, da vor<br />
allem auf Compliance ausgerichtete Sicherheitsbemühungen<br />
nur selten die tägliche<br />
Realität von Entwicklern berücksichtigt.<br />
Dadurch werden Softwaresysteme<br />
anfällig für potenziell katastrophale<br />
Sicherheitslücken wie log4shell.<br />
KI-gestützte Softwaretests sorgen also<br />
für einen Wandel. Nachfolgend erklären<br />
wir, warum der Aufstieg von KI-gestützten<br />
Testtools den kulturellen und<br />
verfahrenstechnischen Wandel einleitet,<br />
den wir so dringend brauchen, um<br />
sichere Anwendungen inmitten wachsender<br />
Komplexität zu entwickeln.<br />
Application <strong>Security</strong> muss Schritt<br />
halten<br />
50 Prozent der Unternehmen erlebten<br />
im vergangenen Jahr einen API-Sicherheitsvorfall<br />
(Google Cloud, 2022).<br />
Dies ist nicht überraschend: Während<br />
Softwaresysteme immer größer und vernetzter<br />
werden, verwenden viele Bran-<br />
chen immer noch Softwaretestverfahren<br />
und -tools, die für die Bewältigung<br />
dieser Herausforderungen, unzureichend<br />
sind.<br />
In vielen Branchen, wie etwa im Finanzwesen,<br />
im Gesundheitswesen und in Behörden,<br />
werden Sicherheitsbemühungen<br />
durch Compliance bestimmt. Dies kann<br />
zwar ein wirksames Instrument sein, um<br />
sicherzustellen, dass Testing auf Managementebene<br />
berücksichtigt wird,<br />
reicht aber nicht aus, um der heutigen<br />
Bedrohungslandschaft zu begegnen.<br />
Compliance-basierte <strong>Security</strong> besteht<br />
zu großen Teilen aus maximal halb<br />
automatisierten Pentests, welche viele<br />
Nachteile haben:<br />
➤ Unschlüssige Ergebnisse aufgrund<br />
mangelnder Messungen der Code<br />
Coverage<br />
➤ Probleme werden erst spät gefunden,<br />
da die Tests nicht für jedes Deployment<br />
durchgeführt werden<br />
➤ Tests kratzen aufgrund strikter Zeitvorgaben<br />
nur an der Oberfläche<br />
➤ Tests sind angesichts ihres suboptimalen<br />
ROI übermäßig teuer<br />
Da bei diesem Ansatz die Code Coverage<br />
fehlt, werden die Tester mit den Angreifern<br />
gleichgesetzt, da sie keine<br />
Möglichkeit haben, festzustellen, welche<br />
Teile des Quellcodes von ihren Eingaben<br />
durchquert wurden. Da Angreifer<br />
oft nicht an Zeitvorgaben gebunden<br />
sind, könnte man sogar argumentieren,<br />
dass sie einen Vorteil haben. Dennoch<br />
sind Blackbox-Pentests aus Compliance-<br />
Sicht oft ausreichend.<br />
Wie KI-gestützte Softwaretests<br />
einen Vorsprung ermöglichen<br />
Mithilfe von KI können große Teile der<br />
Testfallerstellung automatisiert werden.<br />
Herkömmliche Testmethoden (etwa<br />
klassische Unit-Tests) verwenden wenige<br />
deterministische Testfälle, um auf<br />
Known-Uknowns zu testen, also einen<br />
Programmzustand, den der Tester als<br />
fehlerhaft vermutet. Durch die Erweiterung<br />
dieses Ansatzes mit selbstlernender<br />
KI können Entwickler jede Sekunde<br />
Tausende von zusätzlichen Testfällen<br />
generieren, um auf Unknown-Unknowns<br />
zu testen, das heißt, auf Fehler und Si-<br />
<strong>September</strong>/<strong>Oktober</strong> <strong>2023</strong> | www.it-daily.net