100 % GENAUIGKEIT

CONTRAST SECURITY ERZIELT IM
OWASP BENCHMARK GUTE NOTEN

CSO MAGAZINE: CONTRAST-SECURITY-PRODUKTBESPRECHUNG

CSO From IDG Logo"Contrast Security bietet eine der elegantesten Lösungen für Anwendungssicherheit auf dem Markt. Wir können nachvollziehen, warum die Lösung beim OWASP Security Benchmark 100 Prozent erzielt hat." – John Breeden II

Lesen Sie die CSO-Produktbesprechung, um eine ehrliche Einschätzung von Contrast Security zu erhalten.

CSO-Produktbesprechung lesen


ALARMIERENDE ERGEBNISSE DECKEN BEDEUTENDE SCHWACHSTELLEN BEI STATISCHEN UND DYNAMISCHEN TESTPRODUKTEN AUF

Contrast Security hat den Benchmark durchgeführt und die Resultate waren dramatisch. Die besten kommerziellen SAST-Produkte (Static Application Security Testing – statische Anwendungssicherheitsprüfung) erreichten eine Genauigkeit von 32 % und die schlechtesten 17 %. Bei DAST-Produkten (Dynamic Application Security Testing – dynamische Anwendungssicherheitsprüfung), waren die erzielten Ergebnisse mit einer Spanne von 17 bis 1 % ebenso besorgniserregend. 

OWASP Benchmark project graph showing Contrast Assess success vs SAST and DAST tools

Benchmark-Genauigkeitsergebnisse

TDer Benchmark ist eine kostenlose und quelloffene Anwendungssicherheits-Testsuite mit 2.740 Sicherheitsprüfungen. 1.415 davon sind echte Schwachstellen, die Tools erkennen müssen, und 1.325 sind Scheinziele oder False Positives: Für ein naives Tool sehen sie wie Sicherheitslücken aus, sind aber keine.


SAST UND DAST BIETEN UNTERNEHMEN KEINEN AUSREICHENDEN SCHUTZ

Seit über einem Jahrzehnt verlassen sich Unternehmen auf SAST- und DAST-Produkte, um ihre Anwendungen zu schützen und Compliance-Anforderungen abzuhaken. Der OWASP Benchmark von 2015 zeigt, dass existierende SAST- und DAST-Lösungen Unternehmen nicht ausreichend vor Angriffen schützen.

DER CONTRAST-ASSESS-ANSATZ SETZT SICH IM BENCHMARK AN DIE SPITZE

IAST-Lösungen (Interactive Application Security Testing – Interaktive Anwendungssicherheitsprüfung) wie Contrast Assess lassen sich in laufende Anwendungen integrieren, um Sicherheitsanalysen im vollen betrieblichen Kontext durchzuführen. Wie der OWASP-Benchmark deutlich zeigt, ist dieser Ansatz nicht nur um ein Vielfaches genauer, sondern auch schneller und einfacher bereitzustellen.false-sense-of-application-security

ÜBERDENKEN UND ERNEUERN SIE IHRE ANWENDUNGSSICHERHEITSLÖSUNG

Jeder kann den OWASP-Benchmark nutzen, um die Vor- und Nachteile aktueller Lösungen auszuwerten. Contrast Security ist eine naheliegende Wahl, um bestehende SAST- und DAST-Lösungen zu ergänzen oder zu ersetzen. Fragen Sie den Anbieter Ihrer derzeitigen Anwendungssicherheitslösung nach seinen Benchmark-Ergebnissen und kontaktieren Sie Contrast Security,um mehr über unsere Resultate zu erfahren.

Technischen Überblick herunterladen

Anbieter vergleichen: So interpretieren sie die OWASP-Benchmark-Werte richtig

Fragen Sie Anbieter von Anwendungssicherheitslösungen auf jeden Fall, welche „Accuracy Score“ (Genauigkeitspunktzahl) sie im OWASP Benchmark erzielt haben. Der Genauigkeitswert gibt ein vollständiges Bild ab. Anbieter könnten versucht sein, ihre „True Positive Score“ als ihre Punktzahl auszugeben, aber diese verrät nicht die volle Wahrheit. Die Genauigkeitspunktzahl des OWASP Benchmark kombiniert True Positives und False Positives, um zu messen, wie präzise das Produkt wirklich ist.

So wird der Benchmarkwert berechnet

Der OWASP-Benchmark berechnet die Gesamtgenauigkeit eines Produkts, indem es seine False Positive Rate (FPR) von seiner True Positive Rate (TPR) abzieht. Auf diese Weise wird das Melden von Sicherheitslücken gegen die Korrektheit dieser Meldungen abgewogen. Ein perfekter Genauigkeitswert von 100 % wird erzielt, wenn die TPR für ein Produkt 100 % und die FPR 0 % beträgt. 

Stellen Sie sich beispielsweise eine Anwendung mit mehreren Schwachstellen und die folgenden drei Produkte zur Anwendungssicherheitsprüfung vor. (1) Das Produkt tut nichts. Daher werden in dieser Anwendung keine Sicherheitslücken gefunden und es gibt keine Fehlalarme. Seine TPR und die FPR betragen beide 0 %, wodurch das Produkt im Benchmark eine Genauigkeit von 0 % erzielt. (2) Ein anderes Produkt ist der Ansicht, dass jede Codezeile oder Webseite eine Schwachstelle enthält. Seine TPR ist demnach 100 %, da es jede Sicherheitslücke findet, seine FPR beträgt jedoch ebenfalls 100 %, was auch hier zu einem Benchmark-Genauigkeitswert von 0 % führt. (3) Das dritte Produkt hat eine gleich hohe TPR und FPR, was im Endeffekt bedeutet, dass das Produkt rät. Auch dieses Produkt würde mit 0 %

Genauigkeit bewertet. Im Falle von Contrast Security betrug die TPR im aktuellsten OWASP Benchmark 100 % und die FPR 0 %. Wenn man nun die FRP von der TPR abzieht, ergibt sich für Contrast Assess ein Genauigkeitswert von 100 %.
Quelloffen und anbieterneutral

Das Benchmark-Projekt ist entsprechend dem OWASP-Prinzip kostenlos und quelloffen. Jeder kann die Projektressourcen herunterladen und verwenden sowie das Projekt überprüfen und sich daran beteiligen. Die primäre Benchmark-Ressource ist eine Anwendung mit derzeit knapp unter 3.000 Testfällen in 11 verschiedenen Schwachstellenkategorien. Die Testfälle umfassen echte Sicherheitslücken sowie Szenarien, die wie Schwachstellen aussehen, aber keine sind, wodurch auf False Positives geprüft werden kann. Zusätzlich zur Prüfungsanwendung enthält das Benchmark-Projekt ein Tool, das die Ergebnisse des getesteten Anwendungssicherheitsprodukts normalisiert und eine Genauigkeitspunktzahl berechnet.