stomp Inzicht in de markt voor firewalls voor webapplicaties - Unite.AI
Verbind je met ons
   Cybersecurity  
Inzichten in de Web Application Firewall-markt:
 mm
gepubliceerd
 3 jaar geleden
 on
   
 
Is het gebruik van een webapplicatie-firewall (WAF) een verplichte standaard voor het beveiligen van webbronnen, of is het een belangrijke maar optionele beveiligingslaag? Hoe een WAF kiezen en implementeren? Wat brengt de toekomst voor deze markt? Blijf lezen om de antwoorden te krijgen.
Wat doet een firewall voor een webtoepassing?
Het is moeilijk om je een modern bedrijf voor te stellen dat geen WAF. Dit instrument is alleen overbodig als er geen digitale activa zijn om te beschermen. Het helpt webbronnen te beschermen als ze de ruggengraat vormen van zakelijke activiteiten, als ze worden gebruikt om kritieke gegevens van werknemers en klanten op te slaan, of als ze zijn gekoppeld aan de infrastructuur van de organisatie en een toegangspunt kunnen worden voor indringers.
Een webapplicatie-firewall beschermt ook maatwerkoplossingen die door bedrijven worden gebruikt. Deze systemen bevatten vaak kwetsbare code en kunnen een bedreiging vormen voor de bedrijfsbeveiliging. Een WAF biedt verdedigingen op laag 7 van de Open Systems Interconnect (OSI) model. Het analyseert verzoeken die noch traditionele firewalls, noch next-generation firewalls (NGFW's) kunnen controleren. Naast het beveiligen van een bedrijfswebsite, beschermt het webtoepassingsservers, houdt het toezicht op integraties met services van derden en behandelt het bedreigingen die geen verband houden met kwetsbaarheden, zoals DDoS-aanvallen.
Er zijn twee fundamentele verschillen tussen een WAF en andere firewalls: functioneel en architectonisch. Functionele functies omvatten de mogelijkheid om gespecialiseerde formaten binnen HTTP te ontleden (bijv. JSON), iets wat NGFW en andere systemen niet kunnen doen. Architectonische kenmerken hebben betrekking op de manier waarop het wordt geïmplementeerd binnen een netwerk. Een webtoepassingsfirewall werkt voornamelijk als een omgekeerde proxy en behandelt alleen interne toepassingen.
Figuurlijk gesproken is een WAF een product dat een kwetsbare website van gehackt worden. Wat de locatie betreft, wordt NGFW bij de gateway geïnstalleerd, terwijl WAF wordt geïnstalleerd waar de website zich bevindt.
NGFW, een reguliere firewall en een klassiek inbraakpreventiesysteem (IPS) zijn apparaten met meerdere protocollen, terwijl een WAF beperkt is tot webtoepassingsprotocollen die HTTP als transportmiddel gebruiken. Een dergelijke oplossing toont een grotere efficiëntie in een bepaalde niche dankzij de diepere analyse van gespecialiseerde protocollen. Belangrijk is dat een WAF precies weet welke applicaties het beschermt. Het kan verschillende beveiligingsbeleidsregels toepassen, afhankelijk van naar welk object het verkeer wordt geleid.
Is het mogelijk om op dit gebied gebruik te maken van een uitbestede oplossing? Dit is een haalbare aanpak, maar het is buitengewoon moeilijk om in de praktijk te brengen. In dit geval wordt het bedrijf in wezen de ontwikkelaar van zijn eigen oplossing en moet het niet alleen de ontwikkeling maar ook de volledige technische ondersteuningscyclus afhandelen.
Een ander belangrijk aspect is de keuze tussen een on-premise implementatievariant en een clouddienst. Dit is grotendeels een kwestie van vertrouwen in de cloudprovider. De markt voor webapplicatiebeveiliging migreert actief naar de cloud, waardoor steeds meer klanten de risico's van dergelijke diensten acceptabel vinden.
Het is ook de moeite waard om de voor- en nadelen te bespreken van kant-en-klare software en hardware WAF-toolkits versus hun tegenhangers die alleen op software zijn gebaseerd. Oplossingen die zijn afgestemd op specifieke hardware kunnen efficiënter werken dan universele systemen die op alle apparatuur draaien. De andere kant van de medaille komt neer op de waarschijnlijke wens van de klant om te werken met bepaalde hardwareplatforms die al in gebruik zijn.
De kwestie heeft ook organisatorische en bureaucratische aspecten. Soms is het voor een informatiebeveiligingsafdeling makkelijker om een ​​kant-en-klare hardware- en softwarebundel aan te schaffen dan twee aparte budgetposten te rechtvaardigen.
WAF-functies
Elke WAF heeft een set beveiligingsmodules waar al het verkeer doorheen gaat. De beveiliging begint meestal met de basisniveaus - DDoS beveiligingsfuncties en handtekeninganalyse. De mogelijkheid om uw eigen beveiligingsbeleid en een wiskundig leersubsysteem te ontwikkelen, is een niveau hoger. Een integratieblok met systemen van derden verschijnt meestal in een van de laatste implementatiefasen.
Een ander belangrijk onderdeel van een WAF is een passieve of actieve scanner die kwetsbaarheden kan detecteren op basis van serverreacties en endpoint-enquêtes. Sommige firewalls kunnen frauduleuze activiteiten aan de browserzijde detecteren.
Wat betreft aanvalsdetectietechnologieën zijn er twee fundamenteel verschillende taken: validatie (het controleren van gegevens in specifieke verzoeken) en gedragsanalyse. Elk van deze modellen past zijn eigen set algoritmen toe.
Als we naar de WAF-werking kijken in termen van de verwerkingsfasen van verzoeken, is er een reeks parsers, decoderingsmodules (niet te verwarren met decodering) en een reeks blokkeringsregels die verantwoordelijk zijn voor het uiteindelijke oordeel. Een andere laag omvat beveiligingsbeleid dat door mensen is ontwikkeld of is gebaseerd op algoritmen voor machine learning.
Wat betreft de interactie van een webapplicatie-firewall met containers, zit het enige verschil misschien in de eigenaardigheden van de implementatie, maar de basisprincipes zijn altijd hetzelfde. In een gecontaineriseerde omgeving kan de WAF fungeren als een IP-gateway door alle verzoeken te filteren die naar het virtualisatie-ecosysteem stromen. Bovendien kan het zelf als container werken en worden geïntegreerd met een databus.
Is het mogelijk om een ​​WAF op een software-as-a-service (SaaS) basis aan te bieden? In wezen geeft het SaaS-principe volledige toegang tot een applicatie en het beheer ervan in de cloud. Deze aanpak brengt geen noemenswaardige voordelen met zich mee, maar het is wel de eerste stap om een ​​IT-infrastructuur naar de cloud te verplaatsen. Als het bedrijf het systeembeheer ook aan een derde partij delegeert, doet dit meer denken aan het paradigma van de managed security service provider (MSSP), dat een aantal belangrijke voordelen kan bieden.
Een pentest die de klant in de pilotfase kan uitvoeren, zal helpen om te beoordelen hoe effectief de WAF is. Bovendien kunnen leveranciers en systeemintegrators de klant voorzien van regelmatige firewallprestatierapporten die de resultaten van verkeersanalyse weerspiegelen.
Een firewall voor webtoepassingen implementeren
De belangrijkste fasen van de inzet van WAF zijn als volgt:
  •        Het opzetten van een proefproject.
  •        Het selecteren van de verkoper.
  •        Bepalen van de architectuur van de oplossing.
  •        Back-uptechnieken specificeren.
  •        Implementeren van het software- of hardwarecomplex.
  •        Het opleiden en motiveren van het personeel om de WAF te gebruiken.
In een ideale wereld duurt het slechts enkele minuten om een ​​WAF-bewakingsservice in een enkele applicatie te integreren. Het configureren van de regels om bedreigingen te blokkeren kost echter extra tijd. Er zijn ook aanvullende aspecten van de implementatie, waaronder goedkeuringen, opleiding van personeel en andere technische details. De implementatieperiode is ook afhankelijk van de methode, de specifieke toepassing en de te bewaken typen verkeer.
Een goed georganiseerd implementatieproces helpt om valse positieven te minimaliseren. Uitgebreide tests in de pre-productiefase en na de systeemlancering zouden het lukken. Een belangrijk onderdeel van deze routine is het 'leren' van de oplossing: een beveiligingsspecialist kan tijdens de tests enkele van zijn uitspraken corrigeren. InfoSec-teams moeten binnen de eerste maand van gebruik door WAF gegenereerde statistieken bestuderen om te zien of het systeem legitiem verkeer blokkeert. Tegelijkertijd benadrukken experts dat alle WAF-tools een zeker percentage valse positieven hebben.
Als het gaat om WAF-integratie met andere beveiligingsmechanismen, zijn dit de belangrijkste gebieden van deze activiteit:
  •        Systemen voor beveiligingsinformatie en gebeurtenisbeheer (SIEM) (WAF fungeert als gegevensprovider).
  •        Verschillende soorten zandbakken.
  •        Antivirus kernen.
  •        Data verlies voorkomen (DLP) systemen.
  •        Kwetsbaarheidsscanners.
  •        Beveiligingstools binnen het Kubernetes-platform.
  •        NGFW.
WAF markttrends en voorspellings
De populariteit van verschillende open-source web-API's neemt toe en analisten voorspellen een verschuiving in de focus van beveiligingsoplossingen naar deze frameworks. Gartner heeft zelfs een definitie voor een dergelijk product: Web Application & API Protection (WAAP).
Door de pandemie is de afhankelijkheid van de online wereld enorm toegenomen. Daarom zal het belang van WAF toenemen en kan het een van de belangrijkste voorwaarden worden voor het waarborgen van de veiligheid van elke webbron. Het zal hoogstwaarschijnlijk nog “dichter” bij webapplicaties komen en geïntegreerd worden in het ontwikkelingsproces.
Met betrekking tot de technologische trends van de WAF-evolutie voorspellen experts een actievere betrokkenheid van kunstmatige intelligentie en machine learning-systemen op meerdere niveaus. Dit vereist de mogelijkheden om te detecteren: verschillende bedreigingen naar een nieuw niveau, en het gebruik van vooraf gegenereerde modellen die binnen het bedrijf zijn gemaakt, zal de norm worden. Daarnaast merken analisten de groeiende implementatie van filtermechanismen op basis van gedragsfactoren.
Aan de kant van de implementatie zal de integratie van WAF met cloudservices worden voortgezet. Een trend naar het gebruik van open beveiligingssystemen zal ook deze industrie beïnvloeden. Zowel klanten als leveranciers zullen profiteren van deze natuurlijke reactie op de huidige marktvraag.
Takeaways
De firewall van de webapplicatie is een belangrijk element van de hedendaagse webbeveiliging. Het groeiend aantal kritische taken uitgevoerd via webinterfaces en open API's is een krachtige drijvende kracht op dit gebied. Een klant kan kiezen tussen het implementeren van een WAF binnen zijn infrastructuur, het integreren van kant-en-klare hardware- en softwaresystemen erin, of het gebruik van cloudservices.
Een andere baanbrekende trend is de integratie van WAF met andere informatiebeveiligingssystemen en workflows voor websiteontwikkeling. Dit maakt het een onvervreemdbaar onderdeel van een effectief DevSecOps-proces.
       
 Gerelateerde onderwerpen:
 mm
David Balaban is een computerbeveiligingsonderzoeker met meer dan 17 jaar ervaring in het analyseren van malware en het evalueren van antivirussoftware. David rent MacSecurity.net en  Privacy-PC.com projecten die deskundig advies geven over hedendaagse informatiebeveiligingskwesties, waaronder social engineering, malware, penetratietesten, bedreigingsinformatie, online privacy en white hat hacking. David heeft een sterke achtergrond in het oplossen van malware, met een recente focus op tegenmaatregelen tegen ransomware.