|
|
"Web Application Firewalls (WAFs) etablieren sich zunehmend als eigenständiger Sicherheitsmechanismus" Dr. Georg Heß beurteilt die Entwicklung auf dem WAF-Markt positiv (
Anzeige
"Die Sicherheit von Web-Anwendungen ist zu einem zentralen Thema der IT-Sicherheit geworden. Dabei etablieren sich insbesondere Web Application Firewalls (WAFs) zunehmend im Markt: Kürzlich hat sich eine Autorin des BSI (Bundesamt für Sicherheit in der Informationstechnik) für ihren Einsatz ausgesprochen. Compliance-Vorgaben wie der PCI DSS für Datensicherheit bei Kreditkartendaten sehen WAFs ebenso als festen Bestandteil der IT- oder Web-Infrastruktur wie Best Practices von Experten-Initiativen wie OWASP - die Experten-Initiative für Web-Applikationssicherheit - oder Cloud Security Alliance. Besonders hervorzuheben ist, dass die Vorteile einer flexiblen, softwarebasierten WAF-Technologie gerade für den Einsatz in verteilten, internen oder externen Web- und Cloud Computing-Infrastrukturen zunehmend geschätzt werden." Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemaagazin.de) WAFs blockieren insbesondere Angriffe auf Web-Anwendungen, bis ein Patch der Schwachstelle vorliegt und im Produktsystem eingespielt ist. Der PCI-Standard, der Sicherheitsstandard der Kreditkartenindustrie, nennt WAFs deswegen als eine von zwei Möglichkeiten, Web-Applikationen abzusichern - und empfiehlt explizit, beide einzusetzen. Auch die BSI-Expertin hat den WAF-Einsatz kürzlich im BSI-Forum befürwortet: "Da es in der Natur der Dinge liegt, dass komplexe Systeme fehlerbehaftet sind, sollten zusätzlich auch immer mehrere Schutzwälle existieren. Bei einem Webauftritt empfiehlt es sich daher, neben der guten Absicherung der Webanwendung selber noch eine Web Application Firewall einzusetzen, die gängige 'bösartige' Eingabemuster herausfiltert." Dazu muss man wissen: Schwachstellen in Web-Anwendungen werden nicht immer zeitnah behoben, wie der IBM-X-Force-Trendbericht immer wieder zeigt. Bei eigenentwickelten Web-Anwendungen kann das daran liegen, dass die Entwicklungsabteilung andere Projekte priorisieren muss. Bei gekauften Lösungen haben Betreiber von Web-Anwendungen keinen Zugriff auf den Anwendungscode, sie müssen auf den Patch des Herstellers warten. In beiden Fällen sind WAFs die einzige Schutzmöglichkeit, solange die Web-Anwendung verwundbar ist. Ein gutes Beispiel dafür ist eine Schwachstelle, die erst kürzlich bekannt geworden ist: Sie betrifft Web-Anwendungen, die auf Microsofts ASP.NET-Framework basieren. Dr. Georg Heß erklärt: "Durch einen Fehler im Framework können Sitzungsdaten in verschlüsselten Cookies kompro-mittiert werden. Unsere WAF hyperguard schützt vor solchen Angriffen, da sie die originären Sitzungsdaten gegen eigene austauscht; die sensiblen Daten verlassen damit den Server gar nicht." (art of defence: ra) |
||
|
