Sie sind hier: Kompetenzen > Consulting > Web-Security > hyperguard

Warum benötigen Web-Anwendungen speziellen Schutz?

Das Web, speziell das HTTP-Protokoll, wurde für komplexe Anwendungen, wie sie heute im e-Business aus wirtschaftlichen Gründen eine Notwendigkeit geworden sind, nicht konzipiert. 
Die daraus resultierenden Schwachstellen von Web-Anwendungen werden noch verstärkt durch die hohe Komplexität, verursacht von der Vielzahl von Web-Scripts, Frameworks und Web-Technologien.

Letztlich erfordert deshalb jede Web-Anwendung ein eigenes, auf ihre jeweilige Logik zugeschnittenes Schutzprofil.

Die geschäftlichen Gründe

  • Web-Anwendungen sind lukrative Angriffsziele. Früher mussten Angreifer in ein internes Firmennetzwerk eindringen, um an Unternehmensgeheimnisse in den Backend-Systemen zu gelangen. Heute werden viele dieser vertraulichen Daten firmenintern zusammengeführt und für E-Business-Zwecke Web-Anwendungen anvertraut.
    Diese haben oft sogar direkten Zugriff auf die Backend-Systeme wie SAP und sind durch manipulierte Abfragen angreifbar!

  • Einbrüche bedeuten enormen Image-Verlust. Für E-Business-Geschäftsmodelle ist das Vertrauen der Anwender in die Sicherheit der zu Grunde liegenden Systeme unabdingbare Geschäftsgrundlage. Dieses Vertrauen wird derzeit durch eine zunehmende Zahl erfolgreicher Einbrüche, die in der Öffentlichkeit nur zum Teil bekannt werden, empfindlich gestört.
    Die rein finanziellen Verluste erscheinen, gerade für Großunternehmen, noch überschaubar, das Vertrauen der Kunden muss jedoch oft teuer wiedergewonnen werden.

  • Gesetze und Industriestandards sind einzuhalten. In Deutschland sind unter Anderem das Datenschutzgesetz, das Gesetz zur Kontrolle und Transparenz (KonTraG) und Basel II zu nennen, die insbesondere geeignete Maßnahmen zur Risikovorsorge verlangen und gegebenenfalls sogar mit einer persönlichen Haftung des Managements verbunden sind. Zudem sind Industriestandards einzuhalten, beispielsweise MasterCards Payment Card Industry (PCI), Data Security Standard oder VISAs Cardholder Information Security Program (CISP), deren Nichteinhaltung zum Teil mit sehr hohen Strafen verbunden ist.

Die technischen Gründe

  • Die Anfragen des Internetnutzers werden auf Seiten des Betreibers durch traditionelle Sicherheitskomponenten wie Firewall, Reverse Proxy und Intrusion Detection Systeme überprüft, bevor sie über die Web-Server zur Applikation gelangen.
  • Die genannten Sicherheitssysteme wurden, historisch bedingt, zum Schutz der unteren, sogenannten Transportschichten, entwickelt. Diese leisten hier auch sehr gute Arbeit.
  • Jede Web-Anwendung benutzt letztlich HTTP nur noch, um die eigene applikationsspezifische Logik mitzutransportieren. Jede Anwendung muss deshalb spezifisch geschützt werden.
  • Wichtige Daten werden oft SSL-verschlüsselt übertragen und können deshalb von herkömmlichen IT-Sicherheitslösungen nur schwer untersucht werden.
  • Vereinfachend ausgedrückt: Die Web-Anwendungen sprechen eine Sprache, die Firewalls, Reverse Proxy Server und IDS bzw. IPS-Systeme nicht kennen.
  • Hinzu kommt, dass die Vielfalt der angebotenen Web-Script-Sprachen, Application-Frameworks und Web-Technologien eine fast unbegrenzte Anzahl von Sicherheitslücken erzeugt.
  • Eine ideale Ausgangsposition für Hacker. 

Der Kundennutzen

  • Erhöhter Schutz vertraulicher Kundendaten und interner Unternehmensinformationen
  • Vermeidung negativer Publicity
  • Nachgewiesene Einhaltung von Gesetzesauflagen (Basel II, KonTraG), Industriestandards (z. B. PCI) oder Service-Level-Agreements auf Grund detallierter Reporting-Funktionalitäten
  • Einfache Einbindung in bestehende Security-Policys und -Prozesse
  • Niedriger Verwaltungsaufwand dank automatischer Bedrohungsanpassung mittels Instant-Feedback, einfacher Installation ohne Eingriff in die Netzwerkinfrastruktur, einfachem Konfigurationsmanagement und hoher Benutzerfreundlichkeit
  • Senkung der Betriebskosten durch strukturiertes Einspielen von Updates und einfacherer Administration; Wegfall bzw. deutliche Reduktion manueller Plausibilitätskontrollen, zum Beispiel bei Online-Bestellungen oder Online-Banking-Transaktionen.

hyperguard - die Lösung

Die Kernfunktionen von hyperguard

  • Härtung von Web-Anwendungen
  • Regelung und Kontrolle des Zugriffs auf Web-Anwendungen
  • Auditing (Feststellen, Analyse und Aufbereitung von versuchten Angriffen für Reportingzwecke)

 

Die wichtigsten Funktionen im Überblick

 

  • Request Verification: Detaillierte Analyse von HTTP-Requests auf HTTP- und Business-Logic-Layer
  • Secure Session Handling: Eigenes sicheres Handling von Sessions, Grundlage zur Absicherung des Business Workflows
  • Secure State Management: Eigenes sicheres Handling von Cookies, Hidden Parameter Protection
  • Site Usage Enforcement: Der Nutzer wird auf gewünschte Bahnen gelenkt, unerwünschte Nutzer werden abgewehrt oder umgeleitet
  • Serverside Phishing Prevention, Detection and Termination: Erkennen und Beenden von Phishing-Angriffen soweit auf Seiten des Servers möglich

Zielgruppe: Betreiber von geschäftskritischen E-Business-Systemen

  • Als großer Online-Händler, Finanz-Dienstleister oder als Telekommunikations-Unternehmen ist E-Business heute wesentlich für Ihren wirtschaftlichen Gesamterfolg.
  • Sie möchten negative Publicity vermeiden und Gesetze und Industriestandards auch auf Anwendungsebene einhalten.
  • Sie betreiben in technischer Hinsicht ein Web-Server-Cluster.
  • Sie haben bereits umfangreiche klassische Sicherheitssysteme und Policys im Einsatz und brauchen Schutz auf der Anwendungsebene, der sich optimal in Ihre bestehende Architektur einpasst.

hyperguard Vorteile

Wirtschaftliche Vorteile

  • Vermeidung negativer Publicity
  • Erhöhter Schutz vertraulicher Kundendaten und interner Unternehmensinformationen
  • Nachweisbare Einhaltung von Gesetzesauflagen (Basel II, KonTraG), Industriestandards (z. B. PCI) oder Service-Level-Agreements auf Anwendungsebene
  • Kein Eingriff in die bestehende Netzwerkinfrastruktur

 

 

Technische Vorteile

 

  • Kein Eingriff in die bestehende Netzwerkinfrastruktur
  • Hohe Skalierbarkeit - einfach mit Anzahl der Web-Server im Cluster
  • Zentrale Administration
  • Automatische Bedrohungsanpassung mittels Instant Feedback
  • Umfassende Reporting-Funktionalitäten in Real-Time
  • Optimale Einbindung in bestehende Authentisierungs- und Überwachungs-Systeme
  • Zusätzliche Informationen für Ihr Marketing zur Website-Optimierung

Weitere Infos:

 

Telefon

+49 89 439007 -0

 

E-Mail

sales@inotronic.de 

 

Kontakt inotronic:

 

Telefon

+49 89 439007 -0

 

Fax

+49 89 439007 -41

 

E-Mail

info@inotronic.de

 

Hier finden Sie uns

Adresse und Anfahrt

 

 

Das TOP-Thema 2012: Web-Sicherheit

Die 5 Top Mythen der Web-Sicherheit

Unser Partner:

 

Steckbrief:

 
Die art of defence GmbH ist das europaweit einzige Unternehmen, das Sicherheitsprodukte für Web- Anwendungen über den gesamten Applikations- Lebenszyklus anbietet. Führende Banken, Finanzdienstleister und E-Commerce- Unternehmen setzen beim Schutz ihrer internen und externen Web-Anwendungen auf art of defence und erfüllen so Gesetzes- auflagen und Industriestandards wie die Sicherheits- richtlinien der Kreditkartenindustrie (PCI-Compliance).

 

Das Web Source Code Analyse-Tool hypersource erkennt die genaue Lage von Schwachstellen im Quellcode von Web- Anwendungen mittels automatisierter statischer Analyse.

Es unterstützt CIOs, Sicherheits- verantwortliche und Entwickler rollenbasiert durch Statusberichte und detaillierte Vorschläge zur Behebung der entdeckten Schwachstellen – ohne clientseitige Installation, nur über einen Web-Browser.

 

Für den Schutz produktiver Web- Anwendungen bietet art of defence hyperguard, die Enterprise Web Application Firewall (WAF) der zweiten Generation. Mit ihr definieren Security- Verantwortliche das Verhalten von Web-Applikationen nach außen und können so Manipulationen und unberechtigte Zugriffe auf die hinter den Web-Anwendungen liegenden Datenbanken und operativen Systeme verhindern.