Anwendungssicherheit auf die Geschäftsziele ausrichten: Wie Netzwerktechniker die IT-Infrastruktur business-tauglich gestalten können

Autor/Redakteur: Eric Jeffery, Regional Solutions Engineer bei AlgoSec/gg

Es mag viele überraschen, aber die größte Qualifikationslücke, die Netzwerktechniker im Bereich der Anwendungssicherheit zu bewältigen haben, betrifft vor allem die Soft Skills wie Kommunikation, Schreiben, Präsentation, Teambildung und kritisches Denken. Es gibt mehrere Gründe, warum diese Fähigkeiten für Netzwerktechniker so wichtig sind. Der wichtigste Grund ist jedoch, dass sie in der Lage sein müssen, die Sicherheitslage ihres Unternehmens gut zu verwalten. Wenn diese Fähigkeiten in Kombination mit den besten Tools und Technologien für die Anwendungssicherheit eingesetzt werden, können Unternehmen ihre spezifischen Sicherheits- und Wachstumsanforderungen erfüllen.

Bild: AlgoSec

Warum Sie Sicherheit und Geschäftsziele in Einklang bringen müssen

Ein Netzwerkingenieur für Anwendungssicherheit sollte der Entwicklung neuer geschäftskritischer oder umsatzbringender Anwendungen nicht im Wege stehen. Gleichzeitig müssen sie sich darüber im Klaren sein, dass sie eine führende Rolle bei der Steuerung eines sicheren und profitablen Kurses für das Unternehmen spielen. Ausgehend von einem umfassenden Verständnis des gesamten Datenverkehrs müssen sie wissen, welche Anwendungen im Netzwerk ausgeführt werden, wie sie kommunizieren, mit wem sie kommunizieren und wie die gesamten Konnektivitätsströme im Zusammenhang mit jeder einzelnen Anwendung gesichert werden können.

Darüber hinaus sollte das Fachwissen eines AppSec-Netzwerkingenieurs weit mehr umfassen als die Beherrschung einfacher Anwendungen wie FTP und SSH. Die Kontinuität des Geschäftsverkehrs sollte an der Spitze seiner Aufgaben stehen. Es gibt eine Menge umsatzgenerierenden Datenverkehr, den sie verstehen und mit den richtigen Leitplanken schützen müssen. Genauso wichtig ist jedoch, dass sie dafür sorgen, dass der Datenverkehr nicht durch veraltete oder irrelevante Regeln und Richtlinien behindert wird, um negative finanzielle Auswirkungen auf das Unternehmen zu vermeiden.

Fachwissen über das OSI-Modell hinaus ist Pflicht

Ein guter Ausgangspunkt für jeden AppSec-Netzwerktechniker ist es, sich ein souveränes Wissen über die sieben Schichten des OSI-Modells anzueignen, insbesondere über Schicht sechs, die für die Präsentation zuständig ist. In der Praxis bedeutet dies, dass sie ein gründliches Verständnis der Netzwerk- und Transportschichten vorweisen. Sie sollten also wissen, welcher Datenverkehr über das Netzwerk läuft und warum. Hilfreich sind daneben Grundkenntnisse in der Skripterstellung und ein Verständnis für einfache Skripte wie zum Beispiel einen Cron-Job zur Planung von Aufgaben. Auch Grundkenntnisse in der Programmierung wie Perl und PHP könnten nützlich sein.

Abgesehen von den Netzwerkkenntnissen sollten AppSec-Netzwerkingenieure aber auch das Geschäftsfeld, in dem sie tätig sind, verstehen. Sobald sie die Kernkompetenzen des Unternehmens und die für das Ökosystem wichtigen Geschäftsanwendungen verstehen, können sie einen echten Mehrwert für ihr Unternehmen schaffen.

Unnötigen Datenverkehr vermeiden

In den heutigen modernisierten Unternehmen sollte von AppSec-Netzwerkingenieuren erwartet werden, dass sie das Unternehmen und seine Anwendungen verstehen. Mit diesen Fähigkeiten und Kenntnissen können sie dem Unternehmen helfen, sicher voranzukommen, indem sie herausfinden, was tatsächlich in der Netzwerkumgebung vorhanden ist und was nicht vorhanden sein sollte. Sobald sie ein klares Verständnis haben, können sie die Umgebung bereinigen und die Netzwerkleistung mit verbesserter Sicherheit optimieren. Dies wird umso wichtiger, je mehr ein Unternehmen wächst, da es dann zu viel unnötigem Datenverkehr kommen kann, der die Umgebung belastet. Ständig werden neue Anwendungen hinzugefügt oder alte entfernt sowie neue Anbieter und Lösungen eingeführt. Dadurch wird die Firewall de facto zu einem Router. Das Endergebnis sind neue Schwachstellen, die zu einer Vielzahl von unnötigen Bedrohungsvektoren führt.