Fallstudie weist nach: "Fuzzing"-Methode erhöht Wirtschaftlichkeit von IT-Sicherheitstests
ID: 850050
IT-Sicherheitstechnologie Fuzzing beim Software-Testen hat seine
Praxistauglichkeit bewiesen. Eine Fallstudie des Forschungsprojekts
SecuriFIT fand mithilfe dieses Ansatzes mehr und kritischere
Sicherheitslücken als herkömmliche Sicherheitstests. SecuriFIT wird
vom IT-Security-Netzwerk SeSamBB mit Mitteln des Bundes und des
Landes Brandenburg getragen. Daneben sind die Unternehmen SQS
Software Quality Systems, der weltweit führende Spezialist für
Software-Qualität, und Codenomicon, Anbieter von Fuzzing-Werkzeugen,
im Forschungskonsortium vertreten.
Die Wirksamkeits- und Wirtschaftlichkeitsstudie von SeSamBB wies
nach, dass der Einsatz des werkzeuggestützten Fuzzings die
Testabdeckung im Vergleich zu manuell aufgesetzten Checks drastisch
erhöht. Darüber hinaus findet das werkzeuggestützte Vorgehen bei
gleichem Ressourceneinsatz eine größere Anzahl mittelschwerer und
sicherheitskritischer Fehler. Dadurch erwies sich Fuzzing im
Vergleich zu herkömmlichen Sicherheitstests als der effizientere
Ansatz.
Die Praxistauglichkeit von Fuzzing prüften die Forscher bei einem
Software-Hersteller, der ein webbasiertes Produkt zur Erfassung,
Verwaltung und Auswertung arbeitsschutzrechtlichen Wissens entwickelt
und vertreibt. Dieses Produkt können die Kunden über ihren
Internetbrowser bedienen.
Die Studie erstreckte sich über einen Release-Zyklus (Iteration)
der Software-Entwicklung. Für die Sicherheitstests standen zwei Tage
zur Verfügung, in denen wie gewohnt auf Basis des vorliegenden
Bedrohungsprofils manuell getestet wurde. Parallel dazu führte das
SecuriFIT-Team im gleichen Zeitraum die Fuzzing-Testläufe durch und
verglich anschließend die Kennzahlen und Ergebnisse der beiden
Vorgehen. "Obwohl für das Fuzzing die Testinfrastruktur erst noch
eingerichtet und justiert werden musste, deckte es eine größere
Anzahl von Sicherheitslücken auf", berichtet Sven Euteneuer, Senior
Research Manager bei SQS Software Quality Systems. "Zu den zusätzlich
gefundenen Schwachstellen gehörte auch ein schwerer Fehler, der das
gesamte System zum Absturz brachte und sich somit für sogenannte
Denial-of-Service-Angriffe geeignet hätte."
Die jetzt abgeschlossene Fallstudie zu Fuzzing führte das bereits
2011 gestartete SecuriFIT weiter. Bereits im Mai 2012 identifizierte
das Forschungsprojekt Fuzzing als geeignete Methode,
Sicherheitslücken im Rahmen von Integrationstests zu erkennen.
SecuriFIT schuf so die Voraussetzungen dafür, Fuzzing mit bereits
vorhandenen Standardtestvorgehen zu integrieren. In einer Art
Stresstest werden beim Fuzzing die Schnittstellen zwischen Systemen
kontinuierlich mit automatisch generierten Testdaten bombardiert, um
die Schnittstellen auf Sicherheits- und Stabilitätsprobleme hin zu
überprüfen. "Mit unserer Defensic-Suite unterstützen wir heute über
300 Protokoll-Schnittstellen. Für diese kann die Technik direkt
eingesetzt werden - mit dem Ziel, unbekannte Schwachstellen zu
entdecken", so Anton von Troyer, Leiter der deutschen
Codenomicon-Niederlassung in München.
Pressekontakt:
PR-Partner Köln (Büro Berlin)
Matthias Longo
Urbanstraße 116 (Aufgang 7)
10967 Berlin
Telefon: +49 30 91547028
Fax: +49 30 69568977
E-Mail: longo@prp-koeln.de
Internet: www.prp-koeln.de
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Datum: 10.04.2013 - 10:54 Uhr
Sprache: Deutsch
News-ID 850050
Anzahl Zeichen: 3711
Kontakt-Informationen:
Stadt:
Köln
Kategorie:
Softwareindustrie
Diese Pressemitteilung wurde bisher 234 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Fallstudie weist nach: "Fuzzing"-Methode erhöht Wirtschaftlichkeit von IT-Sicherheitstests"
steht unter der journalistisch-redaktionellen Verantwortung von
SQS Software Quality Systems AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Köln, 5. September 2018 - SQS, führender Qualitätsspezialist für das digitale Business, intensiviert seine Beziehung mit Siemens und geht eine Partnerschaft anlässlich des Cloud-basierten IoT-Betriebssystems MindSphere ein. MindSphere - von Siemens entwickelt - ist eine offene Plattform, die es
Jobs in Sachsen: Görlitzer Service Delivery Center von SQS feiert sein zehnjähriges Bestehen ...
Köln, 7. Mai 2018 - SQS, der weltweit führende Anbieter von Services im Bereich Qualitätssicherung für digitale Geschäftsprozesse, feiert heute das zehnjährige Bestehen und die damit verbundene Erfolgsgeschichte seines Service Delivery Centers in Görlitz. Michael Kretschmer, Ministerpräsiden
Digitaler Wandel im Bank-Portfolio: Vertrauensverlust kann Kunden kosten ...
Köln, 21. November 2017 - Wie hoch ist das Vertrauen deutscher Kunden in ihre Bank und welche Rolle spielen dabei technologische Entwicklungen? Und vor allem, was müssen Finanzdienstleister und Banken im Zeitalter des digitalen Wandels beachten, damit sie das Vertrauen ihrer Kunden weiterhin gewin
Weitere Mitteilungen von SQS Software Quality Systems AG
ByteAction auf der IT&Media 2013: Rundum-Service für den geschäftlichen E-Mail-Verkehr ...
Nach dem Premierenerfolg im letzten Jahr meldet sich die Fachmesse IT&Media zurück. Mittelständler aus dem Rhein-Main- und Neckar-Raum treffen sich am 24. und 25. April 2013 in Darmstadt zum gemeinsamen Informationsaustausch über das digitale Unternehmen. Dass Firmen ihre geschäftlichen E-M
Praxiserfahrung ...
Seit Michael Reif vom Baufuchs Werkmarkt Meyer in Freising die nexMart iPhone App entdeckt hat, macht ihm das Bestellen noch mehr Spaß. Für ihn ist seine Arbeit dadurch ein Stück papierloser geworden. In Freising ist der Baufuchs Werkmarkt Meyer als Fachhändler für die Bereiche Werkzeu
AccessData® Enterprise deckt interne Gefahrenquellen für Datenlecks auf ...
13 - Sensible Unternehmensdaten können auf verschiedene Weise verloren gehen: z.B. durch Versehen von Mitarbeitern oder externe Eingriffe. Der IT-Forensik-Spezialist AccessData hilft Firmen, Daten-verluste früh zu erkennen und schnell zu reagieren. Das Digital Investigations-Tool AccessData® (AD)
ITSM-SaaS und On-premise für Unternehmen in Deutschland ...
EasyVista - Anbieter von Software-as-a-Service (SaaS) - und solid-serVision.com - Spezialist für ITSM Consulting und Engineering - kündigen eine neue Partnerschaft an. Im Rahmen des Partnerschaftsabkommens agiert die in Dresden ansässige solid-serVision.com als Implementierungspartner, um
