Categories: SicherheitUnternehmen

Die selbstlernende Web Application Firewall: nur ein Marketing-Mythos?

Webapplikationen sind heutzutage hochdynamische Konstrukte, von deren einwandfreiem Funktionieren Millionenumsätze und unter Umständen sogar die Existenz ganzer Unternehmen abhängen. Eine Manipulation einer derartigen Anwendung, in die in aller Regel auch Zugriffe auf geschäftlich sensible Datenbanken integriert sind, muss also mit allen Mitteln ausgeschlossen sein.

Das zu bewerkstelligen, ist jedoch alles andere als einfach. Denn auch wenn für die Programmierung und Codierung ausreichende Sorgfalt und Kompetenz aufgewandt wurden, sind Fehler im Code nicht auszuschließen. Das Problem verschärft sich noch einmal, wenn Fremdprogramme eingebunden werden, deren Code man entweder nicht interpretieren kann oder auf den man überhaupt keinen Zugriff hat.

Um Webapplikationen möglichst gut zu schützen, werden deshalb in der Regel Filtermechanismen eingesetzt, die nicht zulässige oder verdächtige Eingaben in den Browser erkennen und abwehren. Für diese Filter hat sich der Begriff Web Application Firewall (WAF) eingebürgert.

„WAFs stellen als Infrastrukturkomponente neben der sicheren Anwendungsentwicklung die zuverlässigste zusätzliche Schutzmaßnahme auf Anwendungsebene dar, um sowohl Abgriffe auf die aktiven Benutzer als auch auf die Datenintegrität der produktiven Webanwendungen selbst zu verhindern“, umreißt Norman Wenk, Business Development Manager beim Security-Dienstleister Integralis die Aufgabe der WAFs. Es sei allerdings zu beachten, so Wenk, dass die Entwicklung eines entsprechenden Regelwerks und dessen Änderungen von bestimmten Rahmenfaktoren abhängen. Dies beträfen die Art der Webanwendung (Standards wie SAP-Portal oder MS Sharepoint oder Nicht-Standards), die Änderungsdynamik der Darstellung und der Inhalte, aber auch die Organisation der IT in dem jeweiligen Unternehmen (Frage der Verantwortlichkeit).

Honigfallen für den Angreifer

Der manuelle Aufbau eines verlässlich funktionierenden WAF-Regelwerks ist eine sehr langwierige und leider auch fehleranfällige Sache – gerade wenn die Webapplikation durch eine hohe Änderungsdynamik gekennzeichnet ist. Daher verwenden moderne Web Application Firewalls Automatismen zum Erlernen von (korrekten) Anfragen und den entsprechenden Reaktionen, sodass die Regelwerkserstellung zumindest teilweise automatisiert werden kann.


Martin Dombrowski, Security Engineer Central EMEA bei Imperva (Bild: Imperva).

Recht weit in dieser Technik ist beispielsweise der Anbieter Imperva mit seinem „Dynamic Profiling“, mit dem unbekannte Schwachstellen erlernt werden können. Die Gefahr von Fehlalarmen wird dabei erst einmal erhöht, aber durch „mitgelieferte Policys und wenige Anpassungen können IT-Verantwortliche False Positives praktisch ausschließen und trotzdem ein hohes Sicherheitslevel umsetzen“, meint zumindest Martin Dombrowski, Security Engineer Central EMEA bei Imperva.

Kein Zweifel, dass ein solches automatisiertes kontinuierliches Lernen die WAF-Technologie erheblich nach vorne bringen und den sonst anzutreffenden Konflikt zwischen Nutzerkomfort und Sicherheit deutlich entschärfen würde. „Wer freilich eine deterministische Policy bevorzugt, dem werden Mechanismen wie ‚continuous learning‘ nur bedingt gefallen, sagt Stefan Strobel, IT-Sicherheitsexperte und Geschäftsführer des Consulting-Unternehmens Cirosec. Trotzdem findet Strobel solche automatisierten Lernfunktionen wichtig und interessant, mindestens ebenso interessant seien aber auch neue WAF-Ideen wie Honey-Token-basierte Funktionen, die die Intention des Anwenders beziehungsweise Angreifers offen legen und die beispielsweise von dem WAF-Newcomer Mykonos implementiert würden.

Vollautomatik und False Positives


Stefan Strobel, IT-Sicherheitsexperte und Geschäftsführer des Consulting-Unternehmens Cirosec (Bild: Cirosec).

Die Schattenseiten vollautomatischer WAFs spricht Wieland Alge, General Manager EMEA bei Barracuda Networks an. Mit dem Lernmodus werde jede URL und jeder Parameter in einem Datenstrom indexiert, um eine Positivliste zugelassener URLs und Parameter zu erstellen. In der Praxis sei aber eine solche Whitelist kompliziert zu verwalten und es bestehe die ständige Gefahr, dass die Einstellungen veraltet seien. Reine Negativlisten böten wiederum zu viele Schlupflöcher. Alge plädiert daher für eine Kombination von Positiv- und Negativliste.

Um dies in der Praxis handhabbar zu machen, sollten Vorlagen für eine negatives Sicherheitsprofil benutzt werden, beispielsweise für Standardanwendungen wie Outlook-, Web Access-, Sharepoint- oder Oracle-Applikationen, die dann um Whitelists für wichtige Bereiche erweitert würden. Zur Vermeidung einer großen Zahl von False Positives sollte man dem Administrator Tools wie den Exception Profiler von Barracuda Networks zur Verfügung stellen, mit denen Eingaben zugelassen würden, die zwar gegen die Policys verstießen, aber aufgrund einer heuristischen Analyse dennoch als legitim eingestuft würden.


Wieland Alge, General Manager EMEA bei Barracuda Networks (Bild: Barrcauda Networks).

False Positives sind sicher einer der großen Nachteile vollautomatischer Lösungen. Das gilt nicht zuletzt auch für eine Integration von Penetrationstests und deren Ergebnissen in das WAF-Regelwerk. Deshalb sagt Norman Wenk von Integralis: „Die Ergebnisse automatisierter Penetrationstests sollten vor und nach dem Import zum Aufbau eines WAF-Regelwerks immer auf Plausibilität und wirkliche Ausnutzbarkeit beziehungsweise auf mögliche False Positives geprüft werden.“

Thomas Kohl, Country Manager Deutschland beim Anbieter Deny All, sieht das genauso: „Die WAF-Konfiguration bedarf immer einer menschlichen Plausibilitätsüberprüfung, die jedoch durch automatische Tools vereinfacht werden kann.“ Die selbstlernende und sich selbst konfigurierende WAF nennt Kohl einen „Marketing-Mythos“.

Darauf, dass derartige Tools indes immer noch in den Kinderschuhen stecken und Kohl Urteil daher möglicherweise zu streng ausfällt, weist Stefan Strobel von Cirosec hin: „Dass WAFs Änderungen automatisch erkennen und idealerweise Vorschläge für die Konfigurationsanpassung machen, ist zwar sinnvoll, klappt aber bisher erst in Ansätzen und ist nur bei wenigen Produkten verfügbar.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago