HP sichert Business Apps aus der Cloud

Cloud Computing bietet zwar immense Vorteile, bei vielen Schweizer Unternehmen dominieren aber immer noch Sicherheitsbedenken. HP hat eine Zwei-Wege-Analyse entwickelt, die Business Applikationen aus der Cloud sicher machen soll. CW: HP hat in den letzten Jahren mehrere auf Sicherheit spezialisierte Unternehmen akquiriert. Steckt dahinter eine langfristige Roadmap, oder macht Gelegenheit Diebe? Rende: Es gibt tatsächlich eine solche Roadmap. Wir haben 2007 SPI Dynamics, im September 2010 dann Fortify Software und kurz danach ArcSight übernommen. Das sind drei Security-Firmen in kurzer Folge. Wir schauen uns in Marktsegmenten um, die den Märkten nahe liegen, auf denen wir bereits sehr stark sind. Die Schlüsselfrage lautet schlicht und einfach: Haben wir die Kernkompetenz, um in diese Märkte vorzudringen, oder haben wir sie nicht, und ergibt sich eine gute Gelegenheit. Zwischen HP Fortify und SPI Dynamics bestanden vor der Akquise Partnerschaften, um unsere Produkte aufeinander abzustimmen. Warum ein Unternehmen aufkaufen, wenn bereits eine Partnerschaft besteht? Was sind die Vorteile? Partnerschaft ist wie 1 + 1 = 2, Akquise und Integration wie 1 + 1 = 3. Aufgekauften Unternehmen wie Fortify erschliessen sich neue Kundenkreise, bestehende Fortify-Kunden bedienen sich jetzt auch im HP-Software-Portfolio. Für beide Unternehmen entstehen dadurch Win-win-Situationen. Ausserdem ist Sicherheit und Risk-Management in den heute weit verbreiteten gemischten Clouds (private und public) eine anspruchsvolle, wichtige Aufgabe. Sicherheit ist daher die dritte starke Säule in HPs Software-Portfolio. Wie gewährleistet HP Sicherheit in der Cloud? Traditionelle Anbieter von Sicherheitslösungen verfolgen einen Perimeter-Ansatz, ziehen also praktisch eine Mauer um die zu sichernde IT-Infrastruktur. Wir glauben, dass ein Perimeter-Ansatz in der neuen Welt des Cloud Computing nicht mehr ausreicht. Firmen brauchen präventive Techniken, die Sicherheit von innen heraus schaffen und alle sicherheits- und risikorelevanten Daten erfassen. Sind Firewalls und Intrusion-Prevention-Systeme also mittlerweile überholt? Nein, das nicht. Von den Chief Security Officers unserer Kunden aber haben wir erfahren, dass die traditionellen Mittel nicht mehr ausreichen, um die Sicherheit von Business-Apps aus der Cloud zu gewährleisten. Auf der App-Seite kommt es darauf an, Schwachstellen ausfindig zu machen, auf der Operations-Seite, Risikofaktoren über allen Layern zu korrelieren und dann auf einem Dashboard darzustellen. Wir sprechen dabei von tausenden oder gar zehntausenden von Events pro Tag, die gefiltert, priorisiert und korreliert, also zueinander in Beziehung gesetzt werden müssen. Seite 2: Wie funktioniert HPs Zwei-Wege-Analyse im Detail? Wie funktioniert das konkret? Fortify wendet sich an Software-Entwicklung aller Couleur, also C/C++, .NET, Java, Ruby on Rails, Abap (SAP), alle älteren Legacy- und neueren Programmier-Sprachen. Fortify scannt den in diesen Sprachen entwickelten Sourcecode auf Schwachstellen und hilft dadurch Entwicklern, sichereren Code zu produzieren. HP ist der erste Anbieter, der dynamisches und statisches Scanning kombiniert. Fortify (static code analysis) scannt statisch während des Entwicklungsprozesses, SPI Dynamics scannt dynamisch danach, kreiert Angriffsmuster (dynamic ethical hacking) und identifiziert dadurch Schwachstellen im bereits produzierten Code. Wir nennen das "hybrid-two-analysis" und behandeln die korrelierten Ergebnisse wie funktionale oder Performance-Defekte (defects). HP ist der einzige Anbieter weltweit, der so vorgeht. Greift Fortify dazu auf eine Art Fehler-Musterdatenbank zurück? Praktisch sieht das so aus: Der Programmierer liefert zum Beispiel abends sein Tagwerk ab, Fortify scannt die Module auf Fehlerhaftigkeit und macht gegebenenfalls Verbesserungsvorschläge. Fortify greift zu diesem Zweck auf eine Knowledge-Base zurück. Der Software-Entwickler selbst muss kein Sicherheitsexperte zu sein. Stichwort Updates - muss Fortify regelmässig auf den neuesten Stand gebracht werden? HP arbeitet mit einem Team sogenannter ethischer Hacker, das mit dynamischen Angriffstechniken und -mustern experimentiert und einem zweiten, das beim statischen Scanning während des Entwicklungsprozesses die Sicherheit verbessert. Beide Teams bestehen aus jeweils fünf bis zehn Leuten, die sich ergänzen. Neue Hacking-Methoden, neue Einfallstore in Applikationen müssen beim statischen Scanning ja erkannt werden. Dazu schauen wir uns auch Spracherweiterungen, neue Module und Bibliotheken an. Die Antwort ist ja: Die Updates unserer Lab-Teams erhöhen definitiv die Sicherheit. Ist die mithilfe von HPs Security-Scanner produzierte Software dann schlussendlich sicher? Die meisten Chief Security Officers haben verstanden, dass es hundertprozentige Sicherheit nicht gibt. Es kommt darauf an, seine Business-Applikationen zu härten, also so sicher wie nur möglich zu machen. 70 Prozent aller Angreifer nutzen Applikationen als Einfallstor, kommen also über das Application Layer, und wahr ist leider auch: Viele Unternehmen tun nichts, um ihnen Einhalt zu gebieten. Vielleicht gibt es ja bald so eine Art anerkanntes Gütesiegel für Business-Applikationen, die unter Einhaltung strenger Sicherheitsrichtlinien entwickelt worden sind.