Web Application Firewall (WAF)

Erfahren Sie, wie Web Application Firewalls Ihre Webanwendungen vor gängigen Angriffen schützen

Rapid7 AppSec-Lösung

Was ist eine Web Application Firewall?

Eine Web Application Firewall (WAF) hilft dabei, die Webanwendungen eines Unternehmens zu schützen, indem sie den Verkehr zwischen den Webanwendungen und dem Internet prüft und filtert. Eine WAF kann dazu beitragen, Webanwendungen gegen Angriffe wie z. B. Cross-Site Request Forgery (CSRF), Cross-Site-Scripting (XSS), File Inclusion und SQL-Injektion zu verteidigen.

Eine WAF bietet sich besonders für ein Unternehmen an, das eine E-Commerce-Website, Online-Finanzdienste oder jede andere Art von webbasierten Produkten oder Dienstleistungen anbietet, bei denen Interaktionen mit Kunden oder Geschäftspartnern stattfinden. In diesen Fällen sind WAFs besonders nützlich, um Betrug und Datendiebstahl zu verhindern. Da eine WAF jedoch nicht alle Arten von Angriffen abwehren kann, funktioniert sie am besten als Teil einer Reihe von Tools, die ein umfassendes Programm für die Sicherheit von Anwendungen unterstützen.

Wichtigste Vorteile einer WAF

Eine WAF kann jedem Online-Geschäft, das auf sichere Verarbeitung privater Kundendaten angewiesen ist, den notwendigen Schutz bieten. In der Regel verwenden Unternehmen eine WAF, um ihre Webanwendungen vor ausgeklügelten und gezielten Angriffen wie z. B. Cross-Site-Skripting (XSS) und SQL-Injektion zu schützen, die zu Betrug oder Datendiebstahl führen könnten. Wenn sie erfolgreich sind, können diese Arten von Angriffen das Vertrauen der Kunden erheblich beeinträchtigen und sogar Bußgelder nach sich ziehen. Der zusätzliche Schutz, den eine WAF bietet, kann dazu beitragen, den Ruf und die Stellung eines Unternehmens im Markt zu schützen.

Eine WAF erleichtert auch den administrativen Aufwand, der erforderlich ist, um kontinuierliche Sicherheitstests für Webanwendungen zu gewährleisten. Durch die Möglichkeit, proaktiv Richtlinien und Regeln festzulegen, sind Anwendungssicherheitsteams in der Lage zu überwachen, was eine WAF durchlassen darf und was nicht. Dadurch können Teams rechtzeitig über einen laufenden Angriff informiert werden, damit sie erheblich schneller auf potenzielle Sicherheitsvorfälle reagieren können.

Da eine WAF Sicherheitsadministratoren die nötige Anwendungstransparenz bietet, die erforderlich ist, um die Einhaltung regulatorischer Standards wie PCI, HIPAA und DSGVO nachzuweisen, kann sie auch aus Compliance-Sicht wertvoll sein. In Kombination können alle diese Vorteile einem Unternehmen helfen, seine Sicherheit bei Webanwendungen zu stärken und Kundendaten besser vor aufkommenden Bedrohungen zu schützen.

Zustandslose WAFs oder zustandsbehaftete WAFs

Eine WAF sitzt zwischen den Webanwendungen eines Unternehmens und den Anfragen aus dem Internet. Über Reverse Proxy überwacht, filtert oder blockiert sie Datenpakete, die von und zu einer Webanwendung unterwegs sind. Dabei versucht sie, möglicherweise schädlichen Verkehr, der zu Web Exploits führen könnte, herauszufiltern. Eine WAF kann eine cloudbasierte Lösung, eine Anwendung, ein Server Plug-in oder ein Filter sein.

Die ersten WAFs, die als zustandslose (stateless) WAFs bezeichnet werden, benutzten statische Regeln zur Analyse potenzieller Bedrohungen durch eingehende Anfragen an die Webanwendungsserver eines Unternehmens. Mithilfe von Mustererkennung erzeugten sie wirksam fundierte Annahmen darüber, wie eine Webanwendung auf eine bestimmte Form des Angriffs reagieren könnte, indem sie vorgegebene Modelle des Anwendungs- und Angriffsverhaltens verwendeten. So prüfen zustandslose WAFs beispielsweise, wie schnell die Anfragen eingehen, unabhängig davon, ob sie aus derselben Quelle stammen, sowie weitere Verhaltensmetriken, die darauf hindeuten könnten, dass schädliche Aktivitäten im Gang sind.

Zustandslose WAFs können solche Aufgaben viel schneller als ihre menschlichen Kollegen ausführen, aber sie waren nicht anpassungsfähig und geschickt genug, sich entwickelnde Attacken erfolgreich abzuwehren. Daraus ist ein andauerndes Katz- und Mausspiel entstanden, bei dem die Angreifer, nachdem sie festgestellt hatten, dass ihre ursprüngliche Form des Angriffs auf eine Webanwendung nicht erfolgreich war, einfach ein neues Angriffsverhalten entwickelten, das die WAF bisher noch nicht kannte und nicht verhindern konnte. Wenn die WAF dann schließlich neue Regeln erhalten hatte, mit dem diese neue Angriffsvariante abgewehrt werden konnte, hatten die Angreifer längst wieder eine neue Methode entwickelt, um der Angriffserkennung zu entkommen.

Die zweite Generation von WAFs, als zustandsbehaftete (stateful) WAFs bezeichnet, bietet eine flexiblere Abwehr als ihr Vorgänger. Zustandbehaftete WAFs können die gesammelten Daten mit relevantem Kontext anreichern und die aktuelle Bedrohungslandschaft einer Webanwendung analysieren. Da sie einen breiten, kontextabhängigen Blickwinkel haben, sind zustandbehaftete WAFs besser darin, kritische Probleme wie DDoS- und „low and slow“-Angriffe zu erkennen, die versuchen, Sicherheitsmaßnahmen zu unterlaufen, indem sie unter dem Radar fliegen.

WAF vs. RASP

Eine weitere Technologie, die zur Überwachung und zum Schutz eingesetzt wird, ist Runtime Application Self-Protection (RASP). RASP blockiert bösartigen Verkehr, ohne dass statische Regeln in der Anwendung selbst erforderlich sind. Anstatt sich auf Vorhersagen zu verlassen, wie sich eine Anwendung in einem bestimmten Szenario verhalten könnte, bewertet RASP das tatsächliche Anwendungsverhalten, um potenziell bösartige Aktivitäten (z. B. eine Anfrage bei einer Datenbank, eine Anforderung zum Öffnen einer Datei oder eine Anforderung zum Starten einer Shell, um einen Befehl auszuführen) zu erkennen, sobald sie auftreten.

Dies kann die Anzahl der False Positives, die bei der Verwendung einer WAF häufig auftreten, reduzieren, und gibt dem Sicherheitsteam in Echtzeit genauere Einblicke in potenzielle Angriffe. Und da es die Anwendung selbst nutzt, kann RASP auch dann die Sicherheit einer Anwendung bewerten, wenn die Anwendung ständig aktualisiert und weiterentwickelt wird. RASP fügt sich leichter in einen kontinuierlichen Prozess ein, weil Sie beobachten können, wie sich die Anwendung verhält, während Sie kontinuierliche Code-Veränderungen vornehmen, anstatt die statischen Regeln für die WAF manipulieren zu müssen. WAF und RASP können sich gegenseitig ergänzen und dabei ihre Kräfte kombinieren, um einem Unternehmen umfassende und robuste Anwendungssicherheit zu bieten.

Best Practices für WAF

Hier sind drei Tipps, um sicherzustellen, dass Ihr Unternehmen maximal von einer WAF profitiert:

1. Stellen Sie sicher, dass Ihre WAF Ihre Ziele bei der Anwendungssicherheit unterstützt.

Es gibt viele WAFs mit jeweils unterschiedlichen Sicherheitsmerkmalen und Verfahren, die sowohl Angriffe erkennen als auch verhindern können. Achten Sie darauf, dass die WAF, für die sich entscheiden, Ihre spezifischen Ziele bei der Anwendungssicherheit unterstützt.

2. Bewerten und testen Sie Ihre WAF-Lösung sorgfältig

Um wirklich zu verstehen, wie eine WAF als integraler Bestandteil Ihres Anwendungssicherheitsprogramms wirken kann, kann es von Vorteil sein, jede WAF-Lösung, die Sie evaluieren, zu testen, bevor Sie eine endgültige Entscheidung bezüglich deren Einführung treffen. Auf diese Weise können Sie beurteilen und verstehen, wie diese WAF im Zusammenspiel mit anderen von Ihnen verwendeten Anwendungssicherheits-Tools, wie beispielsweise RASP, funktionieren wird, da diese Technologien sich nicht gegenseitig ausschließen und zusammen verwendet werden können, um ein möglichst breites Feld abzudecken.

3. Überlegen Sie, welche internen Ressourcen Sie benötigen.

Während Sie eine WAF evaluieren, überlegen Sie sich, welche internen Ressourcen Sie benötigen, um die Lösung optimal zu nutzen. Möglicherweise stellen Sie fest, dass Sie im Sicherheitsteam zusätzliche Kompetenzen und Fertigkeiten aufbauen müssen, oder Sie sollten sich überlegen, wie die Implementierung einer WAF bestehende Sicherheitsprozesse verändern wird.

Unternehmen sehen sich mit immer ausgeklügelteren Angriffen auf ihre Webanwendungen konfrontiert, da böswillige Akteure darauf aus sind, durch Betrug und Datendiebstahl das große Geld zu machen. Es war daher nie wichtiger als heute, die Sicherheit von Webanwendungen sicherzustellen, jedoch können Unternehmen durch den Einsatz einer Web Application Firewall erhebliche Fortschritte beim Schutz ihrer Webanwendungen und Kundendaten machen. Sie ist ein wichtiger Bestandteil eines robusten Anwendungssicherheits-Toolkits und darüber hinaus eines modernen Anwendungssicherheitsprogramms.

Benötige ich eine Web Application Firewall (WAF)?

Da Cyberangriffe immer komplexer werden, müssen sich Unternehmen und Organisationen in die bestmögliche Position bringen, um sich und ihre Kunden gegen böswillige Absichten zu verteidigen. Unternehmen, die sich mit E-Commerce, Online-Finanzdienstleistungen und verschiedenen anderen webbasierten Produkten befassen, sind einer ständigen Bedrohung durch Betrug und Datendiebstahl ausgesetzt, wodurch die Gefahr besteht, dass sie das Vertrauen ihrer Kunden verlieren und von staatlichen Stellen diszipliniert werden.

Neben einer Reihe von Tools können WAFs eine entscheidende zusätzliche Schutzschicht zu einem bereits robusten Anwendungssicherheitsprogramm hinzufügen. Indem sie Warnungen für Aktivitäten erhalten, die gegen vorher festgelegte Richtlinien und Regeln verstoßen, können Sicherheitsexperten eine Web Application Firewall dazu nutzen, einen bereits laufenden Angriff zu beobachten. Diese Sichtbarkeit sorgt dafür, dass Sicherheitsteams die notwendigen Fähigkeiten haben, gesetzliche Vorgaben zu erfüllen und gleichzeitig Kundendaten bestmöglich zu schützen.

Erfahren Sie mehr über Webanwendungssicherheit

Entdecken Sie Rapid7's Webanwendungssicherheits-Lösung

DevOps Security: Aktuelles aus dem Rapid7 Blog