Connect with us

Cybersicherheit

Einblicke in den Web Application Firewall-Markt

mm
Published
Updated

Ist die Verwendung eines Web-Anwendungs-Feuerwalls (WAF) ein obligatorischer Standard für die Sicherung von Web-Ressourcen oder ist es eine wichtige, aber optionale Schutzschicht? Wie wählt man einen WAF aus und implementiert ihn? Was hält die Zukunft für diesen Markt bereit? Lesen Sie weiter, um die Antworten zu erhalten.

Was macht ein Web-Anwendungs-Feuerwall?

Es ist schwer vorzustellen, dass ein modernes Unternehmen keinen Web-Anwendungs-Feuerwall ( WAF) benötigt. Dieses Instrument ist nur dann überflüssig, wenn es keine digitalen Vermögenswerte zu schützen gibt. Es hilft dabei, Web-Ressourcen zu schützen, wenn sie das Rückgrat der Geschäftstätigkeit sind, wenn sie verwendet werden, um kritische Daten von Mitarbeitern und Kunden zu speichern, oder wenn sie mit der Infrastruktur des Unternehmens verbunden sind und ein Einstiegspunkt für Angreifer werden könnten.

Ein Web-Anwendungs-Feuerwall schützt auch benutzerdefinierte Lösungen, die von Unternehmen verwendet werden. Diese Systeme enthalten oft anfälligen Code und können eine Bedrohung für die Unternehmenssicherheit darstellen. Ein WAF bietet Schutz auf der Ebene 7 des Open Systems Interconnect (OSI)-Modells. Es analysiert Anfragen, die weder herkömmliche Firewalls noch Next-Generation-Firewalls (NGFWs) kontrollieren können. Darüber hinaus sichert es nicht nur die Unternehmenswebsite, sondern schützt auch Web-Anwendungsserver, überwacht die Integration mit Drittanbieterdiensten und behandelt Bedrohungen, die nicht mit Schwachstellen zusammenhängen, wie z. B. DDoS-Angriffe.

Es gibt zwei grundlegende Unterschiede zwischen einem WAF und anderen Firewalls: funktionale und architektonische Merkmale. Funktionale Merkmale umfassen die Fähigkeit, spezielle Formate innerhalb von HTTP (z. B. JSON) zu parsen, was NGFW und andere Systeme nicht können. Architektonische Merkmale beziehen sich auf die Art und Weise, wie es innerhalb eines Netzwerks implementiert wird. Ein Web-Anwendungs-Feuerwall funktioniert in erster Linie als Reverse-Proxy und behandelt nur interne Anwendungen.

Bildlich gesprochen ist ein WAF ein Produkt, das verhindert, dass eine anfällige Website gehackt wird. Was die Lage betrifft, wird NGFW am Gateway installiert, während WAF dort installiert wird, wo die Website residieren.

NGFW, ein herkömmliches Firewall und ein klassisches Intrusion-Präventions-System (IPS) sind Multiprotokoll-Geräte, während ein WAF auf Web-Anwendungsprotokolle beschränkt ist, die HTTP als Transport verwenden. Eine solche Lösung zeigt aufgrund der tieferen Analyse spezieller Protokolle eine größere Effizienz in einem bestimmten Nischenbereich. Wichtig ist, dass ein WAF genau weiß, welche Anwendungen es schützt. Es kann unterschiedliche Sicherheitsrichtlinien je nachdem anwenden, auf welches Objekt der Datenverkehr gerichtet ist.

Ist es möglich, in diesem Bereich eine outgesourcte Lösung zu verwenden? Dies ist ein gangbarer Ansatz, aber es ist extrem schwierig, ihn in die Praxis umzusetzen. In diesem Fall wird das Unternehmen im Wesentlichen zum Entwickler seiner eigenen Lösung und muss nicht nur die Entwicklung, sondern auch den gesamten technischen Supportzyklus übernehmen.

Ein weiterer wichtiger Aspekt ist die Wahl zwischen einer On-Premises-Implementierung und einem Cloud-Service. Dies ist größtenteils eine Frage des Vertrauens in den Cloud-Anbieter. Der Web-Anwendungs-Sicherheitsmarkt migriert aktiv in die Cloud, was bedeutet, dass immer mehr Kunden die Risiken solcher Dienste als akzeptabel erachten.

Es lohnt sich auch, auf die Vor- und Nachteile von Standard-Software- und Hardware-WAF-Toolkits versus ihren Gegenstücken, die nur auf Software basieren, einzugehen. Lösungen, die für bestimmte Hardware optimiert sind, können effizienter arbeiten als universelle Systeme, die auf jedem Gerät laufen. Die andere Seite der Medaille reduziert sich auf den wahrscheinlichen Wunsch des Kunden, mit bestimmten Hardware-Plattformen zu arbeiten, die bereits im Einsatz sind.

Das Problem hat auch organisatorische und bürokratische Aspekte. Manchmal ist es für eine Abteilung für Informationssicherheit einfacher, ein komplettes Hardware- und Software-Paket zu kaufen, als zwei separate Budgetposten zu rechtfertigen.

WAF-Funktionen

Jeder WAF verfügt über einen Satz von Schutzmodulen, durch die alle Datenverkehr fließt. Der Schutz beginnt in der Regel mit den grundlegenden Ebenen – DDoS-Schutzfunktionen und Signaturanalysen. Die Fähigkeit, eigene Sicherheitsrichtlinien zu entwickeln und ein mathematisches Lern-Subsystem, ist eine Ebene höher. Ein Block der Integration mit Drittanbieter-Systemen erscheint in der Regel in einem der letzten Bereitstellungsstadien.

Ein weiterer wichtiger Bestandteil eines WAF ist ein passiver oder aktiver Scanner, der Schwachstellen basierend auf Serverantworten und Endpunkt-Umfragen erkennen kann. Einige Firewalls können auch schädliche Aktivitäten auf der Browser-Seite erkennen.

Was die Angriffserkennungstechnologien betrifft, gibt es zwei grundlegend unterschiedliche Aufgaben: Validierung (Überprüfung von Daten in bestimmten Anfragen) und Verhaltensanalyse. Jedes dieser Modelle wendet einen eigenen Satz von Algorithmen an.

Wenn wir die WAF-Arbeit in Bezug auf die Anfrageverarbeitungsstadien betrachten, gibt es eine Reihe von Parsern, Decodiermodulen (nicht zu verwechseln mit Entschlüsselung) und einem Satz von Blockierregeln, die für das endgültige Urteil verantwortlich sind. Eine weitere Ebene umfasst Sicherheitsrichtlinien, die von Menschen oder auf Basis von Machine-Learning-Algorithmen entwickelt werden.

Was die Interaktion eines Web-Anwendungs-Feuerwalls mit Containern betrifft, kann der einzige Unterschied in den Bereitstellungsbesonderheiten liegen, aber die grundlegenden Prinzipien sind immer dieselben. In einer containerisierten Umgebung kann der WAF als IP-Gateway fungieren, indem er alle Anfragen filtert, die in das Virtualisierungssystem fließen. Darüber hinaus kann er als Container selbst fungieren und in einen Datenbus integriert werden.

Ist es möglich, einen WAF als Software-as-a-Service (SaaS) bereitzustellen? Im Wesentlichen gewährt das SaaS-Prinzip vollen Zugriff auf eine Anwendung und ihre Verwaltung in der Cloud. Dieser Ansatz bringt keine wesentlichen Vorteile, aber es ist der erste Schritt, um eine IT-Infrastruktur in die Cloud zu verlagern. Wenn das Unternehmen auch die Systemsteuerung an einen Dritten überträgt, ähnelt dies eher dem Paradigma eines Managed Security Service Providers (MSSP), das einige wesentliche Vorteile bieten kann.

Ein Pen-Test, den der Kunde auf der Pilotprojekt-Phase durchführen kann, hilft dabei, die Effektivität des WAF zu bewerten. Darüber hinaus können Anbieter und Systemintegratoren dem Kunden regelmäßige Firewall-Performance-Berichte zur Verfügung stellen, die die Ergebnisse der Datenverkehrsanalyse widerspiegeln.

Wie man einen Web-Anwendungs-Feuerwall bereitstellt

Die Hauptstadien der WAF-Bereitstellung sind wie folgt:

  •       Erstellung eines Pilotprojekts.
  •       Auswahl des Anbieters.
  •       Festlegung der Architektur der Lösung.
  •       Festlegung von Backup-Techniken.
  •       Bereitstellung der Software- oder Hardware-Komponente.
  •       Schulung und Motivation des Personals zur Verwendung des WAF.

In einer idealen Welt dauert es nur wenige Minuten, einen WAF-Überwachungsdienst in eine einzelne Anwendung zu integrieren. Allerdings wird die Konfiguration der Regeln zur Blockierung von Bedrohungen zusätzliche Zeit in Anspruch nehmen. Es gibt auch zusätzliche Aspekte der Implementierung, einschließlich Genehmigungen, Schulungen des Personals und andere technische Aspekte. Die Bereitstellungsperiode hängt auch von der Methode sowie der spezifischen Anwendung und den Arten von Datenverkehr ab, der überwacht wird.

Ein gut koordinierter Bereitstellungsprozess hilft dabei, falsch positive Ergebnisse zu minimieren. Umfassende Tests auf der Vorproduktionsphase und nach dem Systemstart sollten den Trick machen. Ein wichtiger Teil dieser Routine ist es, die Lösung “zu unterrichten”: Ein Sicherheitsexperte kann einige der Urteile der Lösung während der Tests korrigieren. InfoSec-Teams sollten WAF-generierte Statistiken innerhalb des ersten Monats nach der Inbetriebnahme prüfen, um zu sehen, ob das System legitimen Datenverkehr blockiert. Gleichzeitig betonen Experten, dass alle WAF-Tools eine bestimmte Rate an falsch positiven Ergebnissen haben.

Was die Integration von WAF mit anderen Sicherheitsmechanismen betrifft, sind dies die Hauptbereiche dieser Aktivität:

  •       Sicherheitsinformationen- und Ereignis-Management-Systeme (SIEM) (WAF fungiert als Datenanbieter).
  •       Verschiedene Arten von Sandboxes.
  •       Antivirus-Kerne.
  •       Datenverlust-Präventions- (DLP) Systeme.
  •       Schwachstellen-Scanner.
  •       Sicherheits-Tools innerhalb der Kubernetes-Plattform.
  •       NGFW.

WAF-Markttrends und Prognosen

Die Popularität verschiedener offener Web-APIs steigt, und Analysten prognostizieren eine Verschiebung des Fokus von Sicherheitslösungen auf diese Frameworks. Gartner hat sogar eine Definition für ein solches Produkt – Web Application & API Protection (WAAP).

Die Pandemie hat die Abhängigkeit von der Online-Welt dramatisch ansteigen lassen. Daher wird die Bedeutung von WAF zunehmen, und es kann zu einem der wichtigsten Voraussetzungen für die Sicherheit von Web-Ressourcen werden. Es wird wahrscheinlich noch “näher” an Web-Anwendungen heranrücken und in den Entwicklungsprozess integriert werden.

Was die technologischen Trends der WAF-Evolution betrifft, prognostizieren Experten eine aktivere Einbindung von künstlicher Intelligenz und mehrstufigen Machine-Learning-Systemen. Dies wird die Fähigkeit, verschiedene Bedrohungen zu erkennen, auf ein neues Level heben, und die Verwendung von vorab generierten Modellen, die innerhalb des Unternehmens erstellt werden, wird zur Norm werden. Darüber hinaus weisen Analysten auf die zunehmende Implementierung von Filtermechanismen auf der Grundlage von Verhaltensfaktoren hin.

Was die Bereitstellung betrifft, wird die Integration von WAF mit Cloud-Diensten fortgesetzt. Ein Trend zur Verwendung offener Sicherheitssysteme wird auch diese Branche beeinflussen. Sowohl Kunden als auch Anbieter werden von dieser natürlichen Reaktion auf die aktuellen Marktanforderungen profitieren.

Zusammenfassung

Der Web-Anwendungs-Feuerwall ist ein Schlüsselelement der heutigen Web-Sicherheit. Die wachsende Anzahl kritischer Aufgaben, die über Web-Schnittstellen und offene APIs durchgeführt werden, ist ein starker Treiber in diesem Bereich. Ein Kunde kann zwischen der Bereitstellung eines WAF innerhalb seiner Infrastruktur, der Integration von Standard-Hardware- und Software-Systemen oder der Verwendung von Cloud-Diensten wählen.

Ein weiterer spielverändernder Trend ist die Integration von WAF mit anderen Informationssicherheitssystemen und Website-Entwicklungsworkflows. Dies macht es zu einem untrennbaren Bestandteil eines effektiven DevSecOps-Prozesses.

Related Topics:
mm

David Balaban ist ein Computer-Sicherheitsforscher mit über 17 Jahren Erfahrung in der Malware-Analyse und der Bewertung von Antiviren-Software. David leitet die MacSecurity.net und Privacy-PC.com Projekte, die Expertenmeinungen zu zeitgenössischen Informationen über Sicherheitsangelegenheiten präsentieren, einschließlich sozialer Manipulation, Malware, Penetrationstests, Bedrohungsintelligenz, Online-Privatsphäre und White-Hat-Hacking. David hat eine starke Malware-Troubleshooting-Vergangenheit, mit einem aktuellen Fokus auf Gegenmaßnahmen gegen Ransomware.