Applikationssikkerhed

Applikationssikkerhed dækker de processer og værktøjer, der beskytter software mod sårbarheder og angreb. Det handler om at bygge sikkerhed ind i applikationer fra design til drift og løbende teste for nye risici.

Tilbage til ordbog

Hvad er applikationssikkerhed?

Applikationssikkerhed (Application Security, forkortet AppSec) er den samlede praksis for at identificere, rette og forebygge sikkerhedssårbarheder i software. Det gælder webapplikationer, mobilapps, API’er og backend-systemer.

Hvor netværkssegmentering og firewalls beskytter infrastrukturen, fokuserer applikationssikkerhed på selve koden og den logik, der driver dine systemer. En applikation kan stå bag den mest avancerede endpoint-sikkerhed, men hvis koden indeholder SQL injection eller broken access control, er organisationen sårbar.

Applikationssikkerhed spænder over flere discipliner: sikker kodning, kodegennemgang, automatiseret testning, sårbarhedsscanning og penetrationstest. Tilsammen skaber de et forsvar, der dækker hele applikationens livscyklus.

Metoder og testtyper

Applikationssikkerhed bygger på flere testmetoder, der supplerer hinanden:

SAST (Static Application Security Testing): Analyserer kildekode uden at køre applikationen. Finder sårbarheder tidligt i udviklingsforløbet, f.eks. hardkodede credentials eller buffer overflows.
DAST (Dynamic Application Security Testing): Tester applikationen i drift ved at sende ondsindede forespørgsler. Finder runtime-problemer som cross-site scripting (XSS) og injection-angreb.
SCA (Software Composition Analysis): Scanner tredjepartsbiblioteker og open source-komponenter for kendte sårbarheder. Det er afgørende, da de fleste applikationer bruger hundredvis af afhængigheder.
IAST (Interactive Application Security Testing): Kombinerer SAST og DAST ved at instrumentere applikationen under test. Giver præcise resultater med færre falske positiver.

Ud over automatiserede tests er manuelle penetrationstests stadig vigtige. En erfaren tester finder logiske fejl og forretningslogik-sårbarheder, som automatiserede værktøjer overser.

Sikkerhed i udviklingsforløbet

Den mest effektive tilgang til applikationssikkerhed er at integrere den i hele Software Development Life Cycle (SDLC). Denne tilgang kaldes ofte "shift left", fordi sikkerhed flyttes fra de sene testfaser til de tidlige designfaser.

I praksis betyder det:

Kravfasen: Definér sikkerhedskrav sammen med funktionelle krav. Overvej trusselmodellering for at identificere potentielle angrebsvektorer.
Design: Anvend principper som "least privilege" og "defense in depth". Vælg sikre arkitekturmønstre og planlæg kryptering af følsomme data.
Implementering: Brug sikre kodningsretningslinjer og automatiseret SAST i CI/CD-pipelinen. Gennemfør kodereviews med fokus på sikkerhed.
Test: Kør DAST og sårbarhedsscanning mod testmiljøer. Gennemfør penetrationstests før større releases.
Drift: Overvåg med SIEM-systemer, håndtér patching af afhængigheder og hav en hændelsesresponsplan klar.

Denne tilgang kræver, at udviklere har grundlæggende sikkerhedsbevidsthed. Regelmæssig træning i sikker udvikling er en forudsætning for at lykkes med AppSec.

Regulativer og standarder

Flere regulativer og standarder stiller direkte eller indirekte krav til applikationssikkerhed:

ISO 27001 Annex A indeholder kontroller for sikker systemudvikling (A.8.25–A.8.28), herunder krav om sikre kodningsregler, test og beskyttelse af testdata. En ISMS-implementering bør dække applikationssikkerhed som en del af de tekniske og organisatoriske foranstaltninger.

DORA kræver, at finansielle virksomheder tester deres IKT-systemer regelmæssigt, herunder applikationer. NIS2 stiller tilsvarende krav til væsentlige og vigtige enheder.

CIS 18 har kontrol 16 dedikeret til applikationssikkerhed, med fokus på at etablere og vedligeholde en sikker udviklingsproces.

Under GDPR er applikationssikkerhed relevant som en teknisk foranstaltning til beskyttelse af persondata. En sårbar applikation, der eksponerer personoplysninger, kan føre til bøder og tab af tillid.

Ofte stillede spørgsmål om applikationssikkerhed

Hvad er forskellen på applikationssikkerhed og netværkssikkerhed?

Applikationssikkerhed fokuserer på at beskytte selve softwaren mod sårbarheder i kode og design, mens netværkssikkerhed handler om at beskytte den infrastruktur, applikationen kører på. Begge er nødvendige for et stærkt forsvar.

Hvornår bør applikationssikkerhed indgå i udviklingsprocessen?

Applikationssikkerhed bør indgå fra første designfase. Tilgangen ‘shift left’ betyder, at sikkerhed tænkes ind allerede under kravspecifikation og arkitektur, ikke først ved test eller drift.

Hvilke standarder stiller krav til applikationssikkerhed?

ISO 27001 Annex A indeholder kontroller for sikker udvikling. DORA stiller krav til finansielle virksomheders IKT-systemer. CIS 18 har dedikerede kontroller for applikationssikkerhed. OWASP Top 10 er en bredt anerkendt referenceramme.

Hvad er OWASP Top 10?

OWASP Top 10 er en liste over de ti mest kritiske sikkerhedsrisici i webapplikationer. Listen opdateres løbende og bruges som baseline for applikationssikkerhed i mange organisationer og regulativer.