Interview mit Michael Goedeker zum Thema Web Application Firewall (WAF):
Was sind heute die größten Herausforderungen bei der Applikationssicherheit?
Applikationssicherheit basiert primär auf einer soliden Gestaltung und einem lückenlosen Testverfahren. Zudem ist es essentiell, genau über die Zugangsbestimmungen Bescheid zu wissen, da über Applikationen immer auch sensible Daten ausgetauscht werden. Letztendlich bildet also der Mix aus Bauweise, Zugangskontrolle sowie Nutzungsbestimmungen den Erfolgsgarant und wird in Form eine Sicherheits-Richtlinie ausgerollt, die im Idealfall auch aktiv von der Geschäftsführung unterstützt wird.
Welche Komponenten müssen WAFs enthalten, um mit der teilweise hohen Änderungsdynamik vieler Anwendungen mithalten zu können (Problem der False Positives)
WAFs für KMUs und große Unternehmen unterscheiden sich und deshalb ist auch der Komponentenmix unterschiedlich – wenngleich nur leicht. Für KMUs müssen WAFs leicht zu bedienen, konfigurieren sowie administrieren sein und gleichzeitig die Möglichkeit bieten, individuelle Warnfunktionen einrichten zu können. Dies bedingt verschiedenste Voreinstellungen und Konfigurationsvorschläge, die speziell auf die Anforderungen dieser Firmen ausgelegt sind. Große Unternehmen nutzen häufig komplexe Syslog- oder SIEM-Lösungen, die Daten über die aktuelle Sicherheitslage sammelt. Diese Firmen benötigen vor allem größtmögliche Flexibilität, sind nach unseren Erfahrungen aber Regelvorschlägen nicht abgetan. Viele Grundeinstellungen für KMUs machen auch in größeren Unternehmen durchaus Sinn.
Was muss beachtet werden, damit durch die Kopplung von Security Scans und WAF nicht nicht-relevante Regeln erzeugt und dadurch zu viele False Positives entstehen?
Alles in Sachen Sicherheit basiert auf einer fundierten Basisarbeit. Sobald festgestellt ist, was normal ist, können Regeln erschaffen werden, die ein unnormales Verhalten erkennen. Falls nur wenige oder gar keine Informationen zum Zeitpunkt der Kopplung zur Verfügung stellen, sollte man es ruhig angehen lassen und nur einige wenige, einfache Regeln erstellen. Diese müssen dann nach und nach mit Daten nachjustiert werden, die die Business-Prozesse und funktionalen Bedürfnisse der Applikation berücksichtigen. Wenn die aufgestellten Regeln von Anfang an zu komplex sind, entstehen eher Probleme als für mehr Sicherheit zu sorgen.
Inwieweit kann das virtuelle oder provisorische Patching, also die Anpassung des WAF-Regelwerks aufgrund von Pentest-Ergebnissen, das echte Patching, also Code-Änderungen ersetzen?
IT-Sicherheit muss einfach sein und darf keine Unterbrechungen des Alltagsgeschäfts bedingen. Provisorisches Patching ist meines Erachtens gefährlich und geradezu unverantwortlich, wenn die Updates nicht zuvor mit den genutzten Geschäftsanwendungen getestet wurden. Ein besserer Ansatz ist die Verwendungen spezieller Regeln, die Informationen über eine Attacke und das angegriffene System sammeln (Alert and Log), um dann den besten Ansatz zu entwickeln, dieses System abzusichern. Lösungen können das Blocken einer IP, einer Applikation oder einer http-Verbindung sein. Im Notfall ist auch ein Ausschalten in Betracht zu ziehen. Virtuelles Patchen kann tatsächliches Patchen nicht ersetzen.
Was haben Plausibilitätsprüfungen bei der WAF-Konfiguration zu beachten? Gibt es da Best practices, Regelanpassungsempfehlungen?
Plausibilität ist ein sehr wichtiger Punkt, um einen effektive Konfiguration gewährleisten zu können. Die erstellten Regeln selbst und deren Auswirkungen müssen im richtigen Kontext verstanden und in die Systemstruktur des Kunden eingebunden sein. Wenn eine vorgeschlagene Regel Applikationen oder Traffic negativ beeinflusst, macht es keinen Sinn, diese zu aktivieren. Letztendlich hängen diese Entscheidungen vom akzeptierten Risikolevel des jeweiligen Unternehmens ab.
Was kann man unter dem Schlagwort „lernende WAF“ seriöser Weise verstehen?
Darunter würde ich eine WAF verstehen, die normalen von verdächtigem Traffic unterscheiden kann und in der Konsequenz Alarm gibt, beziehungsweise Regeln vorschlägt, verdächtigen Traffic zu blocken. Elementare Grundvoraussetzung dafür ist, wie bereits erwähnt, eine solide Vorbereitung und die Erstellung einer Baseline. Der „Lernprozess“ einer WAF sollte zudem eher konservativ sein, wenn es um das Vorschlagen neuer Regeln geht. Hier die goldene Mitte zu finden, ist eine der große Herausforderungen für alle lernenden Netzwerkkomponenten
Setzt man nicht durch eine lernende WAF die Determinierung der Policy außer Kraft? Erzeugt das nicht eine gefährliche Sicherheits-Grauzone? Wie kann man diese in den Griff bekommen?
Jedes lernende Systemgerät ist lediglich eine Ergänzung zu einer bestehenden Sicherheits-Richtlinie und einem Team – wir reden hier nicht von einem Ersetzen. Es besteht immer der Bedarf, die vorgeschlagenen, automatischen Richtlinien noch einmal zu überprüfen. Das ist unabdingbar, um negative Auswirkungen komplexer Situationen und Applikationen auszuschließen.
Mehr Informationen und Lösungsansätze zum Thema Web Application Firewall gibt es hier.