Innovative Methode erkennt Schwachstellen automatisch

Mit dem Verfahren unter dem Titel „Schwachstellen-Risiko-Bewertung für Computer-Anwendungen in der Entwicklung“ schließt OpenSky eine wichtige Lücke im Bereich Application Security. Das System unter der Patent-Nummer 61/901,906 ist in Ansatz und Design einmalig und geht, so die Entwickler, weit über die üblichen Verfahren der Schwachstellen-Risiko-Evaluierung (CVSS, CWE und CAPEC) hinaus. „Unsere Methode erlaubt uns eine neue Qualität der Risiko-Bewertung, weil wir neben den herkömmlichen technischen Faktoren unter anderem auch Zweck und Kontext der Anwendung berücksichtigen können“, erklärt Mark Wireman, der Entwickler der neuen Methode bei OpenSky.

Das Verfahren bezieht nicht nur die Schlüssel-Attribute der Anwendung mit ein, sondern beachtet auch andere relevante Faktoren, die aus technischen Gründen bislang nicht automatisch zu erfassen waren, darunter die Daten-Klassifizierung, Authentifizierung, Kohäsion, Datentyp, Komplexität oder die Verknüpfung innerhalb des Unternehmens.

„Jetzt können wir die tatsächlichen Mängel nicht nur zuverlässig aufdecken, sondern darüber hinaus automatisiert zwischen echten Risiken und bloßen Schwachstellen unterscheiden. Damit stellen wir Unternehmen eine ganz andere Entscheidungsgrundlage für die Priorisierung der Mängelbeseitigung bereit.“ Die Methode lässt sich sowohl auf bereits in Betrieb genommene Applikationen als auch auf Software anwenden, die sich noch in der Entwicklung befindet.

Präsentieren wird Mark Wireman die neue Methode der Schwachstellen-Analyse im Rahmen seines Vortrages während des IT-Sicherheits-Kongresses 2014 von TÜV Rheinland. Die Fachkonferenz, die vom 21. bis 22. Mai unter dem Titel „Face the future of IT Security“ in Fürstenfeldbruck bei München stattfindet, befasst sich zwei Tage lang mit innovativen Lösungen in der Informationssicherheit. Mehr unter www.tuv.com/it-sicherheitskongress. [bl]