1. EXXETA
  2. /
  3. Leistungen
  4. /
  5. IT Consulting & Solutions
  6. /
  7. Cyber Security
  8. /
  9. Secure Development

Secure Development

Sichere Software entsteht nur, wenn man Sicherheit von Anfang an im Entwicklungsprozess berücksichtigt. Ansonsten drohen Sicherheitsvorfälle, Reputationsschäden und hohe Kosten durch das spätere Beheben. Um dies zu vermeiden, helfen wir Ihnen einen Secure Software Development Process aufzusetzen. In bestehenden Entwicklungsprozessen unterstützen wir Sie beim frühen Aufspüren von Sicherheitsproblemen durch Threat Modeling und beim Testen der Anwendungssicherheit durch Security Reviews wie z.B. Penetration Tests. Zusätzlich integrieren wir Sicherheitsaspekte in Ihre Testprozesse mit einer Security Testing Strategy nach Maß. 


Sichere Software entsteht nur, wenn man
Sicherheit von Anfang an im Entwicklungsprozess berücksichtigt.


 

Secure Software Development

So baut man heute sichere Software

 

Herausforderungen

  • Die von Ihnen entwickelte Software hat immer wieder Sicherheitsprobleme:
    • Sicherheit wird nur notdürftig nachgerüstet,
    • Entwicklern fehlt das Wissen für sichere Entwicklung,
    • Sicherheit ist kein Teil des Entwicklungsprozesses,
    • Es wird nicht aus Fehlern gelernt,
  • Softwareprojekte werden immer komplexer, es werden immer mehr fremde APIs und Libraries verwendet,
  • Vorhandene Risiken sind unbekannt und werden erst durch Sicherheits- und Compliance-Vorfälle sichtbar.

Secure SW Development - Lösungen

Einführung Software-Entwicklungsprozess

  • Sicherheit von Anfang an einbauen
  • Ausrichtung an Mensch, Organisation und Technik

Analyse

  • Analyse bestehender Vorgaben & Prozesse

Prozess nach Maß

  • Entwurf eines neuen Entwicklungsprozesses
  • Anpassung bestehender Prozesse

Coaching

  • Coaching und Unterstützung bei der Implementierung

Threat Modeling

Wir spüren Ihre Sicherheitsprobleme auf

 

Herausforderungen

  • Sicherheit wird erst am Ende des Entwicklungsprozesses nachträglich hineingetestet:
    • Die Architektur wird nie auf Sicherheit ausgerichtet,
    • Schwachstellen fallen erst durch Sicherheitsvorfälle auf,
    • Sicherheitsvorfälle bleiben ggf. lange Zeit unentdeckt.
  • Viele Schwachstellen werden durch Fehler in der Architektur verursacht. Anpassungen sind kurz vor Inbetriebnahme oft nicht mehr möglich.

 

Lösungen

  • Wir führen Threat-Modeling-Workshops für Ihre Projekte durch:
    • Strukturierte Sicherheits-Reviews der Architektur,
    • Kritische Untersuchung aller Datenflüsse auf Sicherheitsprobleme,
    • Auffinden von Sicherheitsproblemen ab der Design-Phase sowie während der Entwicklung,
    • Dokumentation in einem Bedrohungsregister inklusive möglicher Gegenmaßnahmen.
  • Erhöhung des Sicherheitsbewusstseins der teilnehmenden Entwickler und Architekten durch die Besprechung praktischer Angriffe.

Früh­zei­ti­ges Be­rück­sich­ti­gen von IT-Si­cher­heit er­spart hohe Kos­ten für nach­träg­li­che Ände­run­gen.


 

Security Testing Strategy

Vertrauen ist gut, Testen ist besser

 

Herausforderungen

  • Erhöhte Qualität für nicht-funktionale Tests im Bereich Sicherheit,
  • Es ist unklar, ob die Entwickler sichere Software erzeugen und Sicherheitsanforderungen einhalten,
  • Tester prüfen nicht ausreichend auf Sicherheitsprobleme:
    • Sicherheitsprobleme sollten möglichst früh im Entwicklungsprozess gefunden werden, dies geschieht jedoch nur selten durch Tester,
    • Es fehlt das Verständnis für Sicherheitsprobleme,
    • Es fehlt das Know-how für die Benutzung entsprechender Werkzeuge,
  • Softwareprojekte werden immer komplexer, die Tests nicht.

 

Lösungen

  • Erhöhung der Sicherheitsqualität:
    • Vorlage von Testfällen zur Unterstützung beim Aufdecken von Sicherheitsproblemen durch Tester basierend auf Ihrer Anwendungslandschaft,
  • Erstellen eines Konzeptes für die Etablierung einer Security-Testing-Organisation:
    • Analyse der bestehenden Testprozesse, Zuständigkeiten und Sicherheitsanforderungen,
  • Definition eines Sicherheitstestprozesses:
    • Erarbeitung von Anforderungen an Sicherheitstests,
    • Die Basis bilden bekannte Frameworks und Best Practices,
  • Vermittlung von Wissen und Know-how an Tester.
     

Security Testing Strategy - Lösungen

Erhöhung der Sicherheitsqualität

  • Vorlage von Testfällen zur Unterstützung zum Aufdecken von Sicherheitsproblemen durch Tester, basierend auf Ihrer Anwendungslandschaft

Konzepterstellung für Security Testing Organisation

  • Analyse der bestehenden Testprozesse, Zuständigkeiten und Sicherheitsanforderungen

Definition eines Sicherheitstestprozesses

  • Erarbeitung von Anforderungen an Sicherheitstests
  • Basierend auf bekannten Frameworks und Best Practices

Wissenstransfer

  • Vermittlung von Wissen und Know-How an Tester

Security Reviews

Wir testen Ihre Applikation/Infrastruktur von allen Seiten

 

Herausforderungen

  • Sie wissen nicht, wie sicher Ihre Applikationen sind und welche Risiken sich daraus ergeben:
    • Könnte ein Angreifer Zugang zu Ihrem System erhalten?
    • Droht ein Verlust von Kunden- oder Unternehmensdaten?
  • Sicherheitslücken werden erst kurz vor dem Release gefunden:
    • Diese können nur noch notdürftig geschlossen werden oder es erfolgen Risikoabnahmen,
  • Einige Sicherheitslücken sind bekannt, aber es fehlt das Wissen, um diese nachhaltig zu schließen.

 

Lösungen

  • Wir prüfen die Sicherheit Ihrer Applikationen aus allen Blickwinkeln:
    • Prüfung von außen durch Penetration Tests,
    • Prüfung von innen durch Code-Analysen,
    • Prüfung des Designs durch Architektur-Reviews,
    • Prüfung der Entwicklungsvorgaben,
  • Wir unterstützen Sie auch bei der Einführung automatischer Code-Analysen:
    • Kontinuierliches Sicherheits-Feedback ab der ersten Zeile Code,
    • Beratung, Produktauswahl und Integration.
X