Connect with us

Cybersikkerhed

Indsigter i Web Application Firewall-markedet

mm
Published
Updated

Er brugen af en web application firewall (WAF) en obligatorisk standard for sikring af webressourcer, eller er det et vigtigt, men valgfrit, beskyttelseslag? Hvordan vælger og implementerer man en WAF? Hvad har fremtiden i vente for dette marked? Læs videre for at få svaret.

Hvad gør en web application firewall?

Det er svært at forestille sig et moderne firma, der ikke har brug for en WAF. Dette instrument er kun overflødigt, hvis der ikke er nogen digitale aktiver at beskytte. Det hjælper med at sikre webressourcer, hvis de er rygraden i virksomhedens aktivitet, hvis de bruges til at gemme kritiske data om medarbejdere og kunder, eller hvis de er forbundet med virksomhedens infrastruktur og kunne blive et indtrængsspunkt for angribere.

En web application firewall beskytter også brugerdefinerede løsninger, der bruges af virksomheder. Disse systemer indeholder ofte sårbar kode og kan udgøre en trussel mod virksomhedens sikkerhed. En WAF giver beskyttelse på lag 7 i Open Systems Interconnect (OSI)-modellen. Den analyserer anmodninger, som hverken traditionelle firewalls eller næste generations firewalls (NGFW) kan kontrollere. Ud over at sikre en virksomhedswebsted, beskytter den web application-servere, overvåger integrationer med tredjepartstjenester og håndterer trusler, der ikke er relateret til sårbarheder, såsom DDoS-angreb.

Der er to fundamentale forskelle mellem en WAF og andre firewalls: funktionelle og arkitektoniske. Funktionelle funktioner omfatter muligheden for at parse specialiserede formater inden for HTTP (f.eks. JSON), hvilket er noget, som NGFW og andre systemer ikke kan gøre. Arkitektoniske karakteristika relaterer til, hvordan den implementeres i et netværk. En web application firewall fungerer primært som en reverse proxy, der kun beskæftiger sig med interne applikationer.

Bogstaveligt talt er en WAF et produkt, der forhindrer, at et sårbart websted bliver hakket. I forhold til placeringen er NGFW installeret ved gatewayen, mens WAF er installeret, hvor webstedet befinder sig.

NGFW, en almindelig firewall og en klassisk intrusionsforebyggelsessystem (IPS) er multiprotokollenheder, mens en WAF er begrænset til web application-protokoller, der bruger HTTP som transport. En sådan løsning viser større effektivitet i et bestemt niche på grund af den dybere analyse af specialiserede protokoller. Det er vigtigt, at en WAF “ved”, hvilke applikationer den beskytter. Den kan anvende forskellige sikkerheds politikker afhængigt af, hvilket objekt trafikken er rettet mod.

Er det muligt at bruge en outsourceret løsning på dette område? Dette er en gennemførlig tilgang, men det er utrolig svært at sætte i praksis. I dette tilfælde bliver virksomheden essentieligt udvikler af sin egen løsning og må håndtere ikke kun udviklingen, men også den fulde tekniske supportcyklus.

Et andet vigtigt aspekt er valget mellem en on-premises implementeringsvariant og en skytjeneste. Dette er i høj grad et spørgsmål om tillid til skyudbyderen. Web application-sikkerhedsmarkedet migrerer aktivt til skyen, hvilket betyder, at flere og flere kunder finder risikoen for sådanne tjenester acceptabel.

Det er også værd at nævne fordelene og ulemperne ved at bruge færdig software og hardware WAF-værktøjer i forhold til deres modparter, der er baseret på software alene. Løsninger, der er finjusteret til bestemt hardware, kan fungere mere effektivt end universelle systemer, der kører på enhver udstyr. Den anden side af medaljen handler om kundens sandsynlige ønske om at arbejde med bestemte hardwareplatforme, der allerede er i brug.

Spørgsmålet har også organisatoriske og bureaukratiske aspekter. Nogle gange er det lettere for en informations sikkerhedsafdeling at købe en komplet hardware- og softwarepakke end at retfærdiggøre to separate budgetposter.

WAF-funktioner

Hver WAF har en samling beskyttelsesmoduler, som al trafik passerer gennem. Sikkerheden starter normalt med de grundlæggende niveauer – DDoS-beskyttelsesfunktioner og signaturanalyse. Evnen til at udvikle egne sikkerheds politikker og et matematisk læringsunder system er et niveau højere. En blok af integration med tredjepartssystemer dukker normalt op på et af de sidste implementeringsstadier.

En anden vigtig komponent i en WAF er en passiv eller aktiv scanner, der kan opdage sårbarheder baseret på serverrespons og endpoint-undersøgelser. Nogle firewalls kan opdage rogue-aktivitet på browsersiden.

Når det kommer til angrebsdetektionsteknologier, er der to fundamentalt forskellige opgaver: validering (kontrol af data i bestemte anmodninger) og adfærdsanalyse. Hver af disse modeller anvender sin egen samling af algoritmer.

Hvis vi ser på WAF-drift i forhold til anmodningsbehandlingsstadier, er der en række parser, decoding-moduler (ikke at forveksle med dekryptering), og en samling af blokeringsregler, der er ansvarlig for den endelige dom. Et andet lag omfatter sikkerheds politikker, der er udviklet af mennesker eller baseret på maskinlæringsalgoritmer.

Når det kommer til samspillet mellem en web application firewall og containere, kan den eneste forskel være i implementerings ejendommeligheder, men de grundlæggende principper er altid de samme. I en containeriseret miljø kan WAF fungere som en IP-gateway ved at filtrere alle anmodninger, der flyder ind i virtualiseringssystemet. Derudover kan den fungere som en container selv og integreres med en data bus.

Er det muligt at tilbyde en WAF som en software-as-a-service (SaaS)? I virkeligheden giver SaaS-princippet fuld adgang til en applikation og dets administration i skyen. Denne tilgang giver ingen betydelige fordele, men det er det første skridt til at flytte en IT-infrastruktur til skyen. Hvis virksomheden også delegerer systemkontrollen til en tredjepart, minder dette mere om managed security service provider (MSSP)-paradigmet, der kan give nogle betydelige fordele.

En pentest, som kunden kan udføre på pilotprojektstadiet, kan hjælpe med at vurdere, hvor effektiv WAF er. Derudover kan leverandører og systemintegratorer give kunden regelmæssige rapporter om firewall-præstation, der afspejler resultaterne af trafikanalyse.

Hvordan implementere en web application firewall

De vigtigste stadier i WAF-implementering er følgende:

  •       Oprettelse af et pilotprojekt.
  •       Vælge leverandør.
  •       Bestemme løsningens arkitektur.
  •       Specificere backup-teknikker.
  •       Implementere software- eller hardwarekomplekset.
  •       Uddanne og motivere personale til at bruge WAF.

I en ideel verden tager det kun få minutter at integrere en WAF-overvågningservice i en enkelt applikation. Dog vil konfigurationen af reglerne til at blokere trusler tage ekstra tid. Der er også yderligere aspekter af implementeringen, herunder godkendelser, personaleuddannelse og andre tekniske detaljer. Implementeringsperioden afhænger også af metoden samt den specifikke applikation og typerne af trafik, der overvåges.

En velkoordineret implementeringsproces vil hjælpe med at minimere falske positiver. Omfattende testning på forproduktionsstadiet og efter systemlanceringen skal gøre trick. En vigtig del af denne rutine er at “lære” løsningen: en sikkerhedsspecialist kan korrigere nogle af dens domme under testene. InfoSec-hold skal studere WAF-genererede statistikker inden for den første måned efter drift for at se, om systemet blokerer legitimeret trafik. Samtidig understreger eksperter, at alle WAF-værktøjer har en vis fejlpositiv rate.

Når det kommer til WAF-integration med andre sikkerhedsmechanismer, er her de vigtigste områder for denne aktivitet:

  •       Sikkerhedsinformation og begivenhedsstyring (SIEM)-systemer (WAF fungerer som dataleverandør).
  •       Forskellige typer sandkasser.
  •       Antivirus-kerner.
  •       Data tab prevention (DLP)-systemer.
  •       Sårbarhedsscannere.
  •       Sikkerhedsværktøjer inden for Kubernetes-platformen.
  •       NGFW.

WAF-markeds trends og forudsigelser

Populariteten af forskellige åbne Web-API’er er stigende, og analytikere forudser en skift i fokus for sikkerheds løsninger mod disse rammer. Gartner har endda en definition for sådan et produkt – Web Application & API Protection (WAAP).

Pandemien har ført til, at afhængigheden af den online verden er vokset dramatisk. Derfor vil vigtigheden af WAF øge, og det kan blive et af de vigtigste krav til sikring af webressourcers sikkerhed. Det vil sandsynligvis blive endnu “tættere” på web-applikationer og integreres i udviklingsprocessen.

Når det kommer til teknologiske trends i WAF-udviklingen, forudser eksperter en mere aktiv involvering af kunstig intelligens og multi-level maskinlærings systemer. Dette vil tage evnen til at opdage forskellige trusler til et nyt niveau, og brugen af forudgenererede modeller, der er oprettet inden for virksomheden, vil blive normen. Derudover bemærker analytikere den stigende implementering af filtreringsmekanismer baseret på adfærdsmæssige faktorer.

Når det kommer til implementeringssiden, vil integrationen af WAF med skytjenester fortsætte. En trend mod at bruge åbne sikkerhedssystemer vil også påvirke denne industri. Både kunder og leverandører vil have gavn af denne naturlige reaktion på markedets krav.

Konklusion

Web application firewall er en nøglekomponent i moderne web-sikkerhed. Den stigende mængde kritiske opgaver, der udføres via web-grænseflader og åbne API’er, er en kraftfuld drivkraft i dette område. En kunde kan vælge mellem at implementere en WAF inden for sin infrastruktur, integrere færdig software- og hardware-systemer i den eller bruge skytjenester.

En anden spillende trend er integrationen af WAF med andre informations sikkerhedssystemer og webstedets udviklings arbejdsgange. Dette gør det til en uadskillelig komponent i en effektiv DevSecOps-proces.

Related Topics:
mm

David Balaban er en computer sikkerhedsforsker med over 17 års erfaring i malwareanalyse og antivirus software evaluering. David driver MacSecurity.net og Privacy-PC.com projekter, der præsenterer ekspertråd på moderne informations sikkerhedsspørgsmål, herunder social engineering, malware, penetrationstest, trusselsintelligens, online privatliv og white hat hacking. David har en stærk baggrund i malware fejlfinding, med en seneste fokus på ransomware modforanstaltninger.