SaaS-CTO-Sicherheitscheckliste Ver.3

• Erläuterung der wesentlichen Sicherheitsmaßnahmen, die ein CTO im Blick haben sollte, nach Kategorien

→ Dazu passende weiterführende Links, empfohlene Tools, Tipps usw.

• Mitarbeitende

→ Sicherheitsschulungen durchführen

→ 2FA einführen

→ Automatische Bildschirmsperre auf Computern

→ Kontofreigabe verhindern

→ Private Computer/Telefone verschlüsseln - Jamf, Canonical Landscape

→ Checklisten für Onboarding / Offboarding

→ Passwortmanager verwenden - dashlane, lastpass, onelogin

→ Checkliste für Security Code Reviews erstellen und betreiben -

→ Zentrale Kontoverwaltung

→ Malware- & Virenschutz-Tools - stormshield

→ Security Engineers einstellen

• Code

→ Sicherheits-Bugs wie normale Bugs verwalten

→ Secrets vom Code trennen - envkey, vault, secret-manager

→ Kryptografie nicht selbst implementieren, sondern Bibliotheken verwenden

→ Static Code Analysis Tool einsetzen

→ Test-Sessions mit Schwerpunkt Sicherheit durchführen

→ Sicherheitsautomatisierung über den gesamten Software Development Lifecycle (SDLC) hinweg

→ Security-Training als Teil des Onboardings für Software Engineers durchführen - safecode, pagerdugy sudo

• Anwendungen

→ Sicherheitsautomatisierung für Produktionsprodukte - snyk, checkov

→ FaaS-Sicherheit

→ Dependency-Tracking - snyk, dependabot

→ Unter einem anderen Konto als root ausführen (unprivileged)

→ Echtzeit-Schutzdienst (Runtime Application Self Protection, RASP)

→ Externes Penetration-Testing-Team beauftragen

• Infrastruktur

→ Backups erstellen, Restore-Tests durchführen und erneut Backups machen - tarsnap, quay

→ Grundlegende Sicherheitstests für Websites - securityheaders, ssllabs

→ Assets auf Netzwerkebene isolieren

→ OS- & Docker-Images aktuell halten - watchtower , spacewalkproject

→ Automatisches Security-Scanning für Container-Images - quay, vulerability & image scanning

→ TLS auf allen Websites & APIs einsetzen

→ Alle Logs zentralisieren, archivieren und sinnvoll aufbereiten - loggly, kibana

→ Exponierte Dienste überwachen - checkup

→ Vor DDoS-Angriffen schützen - fastly, cloudflare, cloudfront

→ Zugriff auf interne Dienste per IP blockieren

→ Anomale Muster in Metriken erkennen - newrelec , sysdig

• Unternehmen

→ Bei allen erhobenen Daten ehrlich und transparent sein

→ Eine sicherheitsfreundliche Kultur aufbauen - Security Culture Framework

→ Das WLAN-Netzwerk nicht mit Besuchern teilen

→ Sicherheitsprüfung aller wichtigen Drittanbieter-Dienste - Google Apps/Slack/WordPress usw.

→ Schutz für Domainnamen prüfen - automatische Verlängerung und weitere Sperrfunktionen

→ Öffentliche Sicherheitsrichtlinien prüfen

→ Tools verwenden, die Sicherheit priorisieren

→ Auf das Skalieren von Security vorbereitet sein

→ Ein Bug-Bounty-Programm aufbauen - hackerone, cobalt

→ Ein Inventar der Unternehmens-Assets erstellen

→ Interne Sicherheitsrichtlinien erstellen

→ Sich gegen Domain-Phishing schützen

• Produktnutzer

→ Passwort-Richtlinien durchsetzen

→ Schutz der Privatsphäre der Nutzer stärken: Social Engineering blockieren

→ Nutzern die Verwendung von 2FA empfehlen. SSO und rollenbasierte Kontoverwaltung - auth0, okta, WebAuthn

→ Auffälliges Nutzerverhalten erkennen - castle