BLOG

Die drei verwalteten AWS Web Application Firewall-Regeln, die Sie jetzt bereitstellen müssen

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 18. April 2018

Eine unglaubliche Anzahl von Anwendungen befindet sich ungeschützt in der Cloud. Keine Web-App-Firewall. Keine Identitäts- oder Zugriffskontrolle. Nichts. Sie sind einfach da draußen und Angriffen ausgesetzt.

Das ist ein Albtraum für Unternehmen und ein wahrgewordener Traum für Angreifer.

Dies ist auch angesichts der zunehmenden Aufmerksamkeit, die Anwendungen als Zielobjekte zuteilwird, unklug. Ob es darum geht, einen Weg zu umfangreichen Datenquellen zu finden oder die App als Verteilungspunkt für andere schändliche Zwecke zu missbrauchen: Angriffe auf Anwendungen nehmen zu.

Tatsächlich stellen wir bei der Untersuchung der schwerwiegendsten Sicherheitsverletzungen fest, dass es sich bei 30 % um Angriffe auf Webanwendungen handelte. Bemerkenswerte 62 % gaben an, dass Hackerangriffe zum Ausnutzen einer Schwachstelle eingesetzt wurden. Und unglaubliche 77 % wurden von Botnetzen durchgeführt – nicht von Einzelpersonen.

Das bedeutet, dass Sie Ihre Apps vor Bots und Schwachstellen schützen müssen, damit Sie nicht zu einer weiteren Statistik werden.

Und wenn ich „Ihre Apps“ sage, meine ich alle Ihre Apps. Alle Apps sind sicherheitskritische Apps – auch in der Cloud. Dies gilt möglicherweise noch mehr in der Cloud, wo Apps möglicherweise ohne den rudimentären Schutz einer Netzwerk-Firewall bereitgestellt werden.

Wir können (und sollten) jedoch nicht ignorieren, dass die Komplexität – insbesondere von Sicherheitslösungen – dem Schutz von Anwendungen in der Cloud manchmal im Wege stehen kann. Knapp mehr als ein Drittel (34 %) der Teilnehmer unserer Umfrage „State of Application Delivery 2018“ sagten uns, dass die „zunehmende Komplexität von Sicherheitslösungen“ eine der größten Sicherheitsherausforderungen für das kommende Jahr sei.

Sicherheit kann schwierig sein. Aber das muss nicht sein, insbesondere in der Cloud.

Web-App-Sicherheit in der Cloud


Für diejenigen, die es noch nicht wissen: AWS stellt eine wirklich tolle Plattform bereit, auf der nicht nur Sie Ihre Apps bereitstellen können, sondern auch Anbieter Funktionen hinzufügen können. Im Sicherheitsbereich ermöglicht die native Web Application Firewall die Erweiterung der Funktionalität durch von Drittanbietern verwaltete Regeln. Das bedeutet, dass Sie sich vor den Bedrohungen schützen können, die hinter den größten Sicherheitsverletzungen stecken, ohne sich mit allen Einzelheiten einer Web Application Firewall auskennen zu müssen. Wenn Sie gerade erst anfangen, ist AWS WAF Managed Rules ein guter Einstieg in die Sicherheit von Webanwendungen und schützt Sie vor den häufigsten Bedrohungen, denen Anwendungen (und Unternehmen) heutzutage ausgesetzt sind.

AWS WAF Managed Rules sind genau das: Sicherheitsregeln für Webanwendungen, die die AWS WAF-Funktionalität erweitern und Schutz für jede Anwendung bieten. Sie werden verwaltet, d. h. Sicherheitsexperten pflegen und aktualisieren sie, sodass Sie sicher sein können, dass sie immer auf dem neuesten Stand sind und Sie vor den neuesten Bedrohungen schützen. Es handelt sich um Sicherheit als Service in der Cloud für jede App. 

Um Ihre Apps vor den drei häufigsten Bedrohungen – Bots, bekannten Schwachstellen und Hackerangriffen – zu schützen, sollten Sie die Umsetzung von drei verschiedenen Regeln sofort in Betracht ziehen. Überlegen Sie es sich jedoch gut, denn Sie können immer nur eine (also 1) verwaltete Regel gleichzeitig auswählen.

OWASP Top Ten

Die OWASP Top Ten sind bei Entwicklern, DevOps und Sicherheitsexperten gleichermaßen bekannt. Sie kennen viele ihrer Namen: SQLi, XSS, Befehlsinjektion, No-SQLi-Injektion, Pfaddurchquerung und vorhersehbare Ressourcen. Dies sind die zehn häufigsten Schwachstellen, deren Ausnutzung Unternehmen Kopfschmerzen bereitet (und manchmal auch für unerwünschte Schlagzeilen sorgt). Und das ist oft der Fall, insbesondere wenn sie in Apps enthalten sind, die mit Datenquellen kommunizieren, die wichtige Verbraucher- oder Unternehmensdaten enthalten.

Im Idealfall sollten Entwickler diese Probleme im Code beheben, wenn sie entdeckt werden. Realistisch gesehen wissen wir, dass es Monate dauern wird, bis dies geschieht (falls überhaupt etwas passiert). Aus diesem Grund ist eine Web Application Firewall, die diese gängigen Schwachstellen beheben kann, so wertvoll – denn sie bietet sofortigen Schutz vor Ausnutzung. Ob als dauerhafte Lösung oder Übergangsmaßnahme: Es ist sinnvoll, einen Regelsatz einzusetzen, der die OWASP Top Ten beinhaltet.

Häufige Schwachstellen und Gefährdungen (CVE)

Die Bedeutung des Schutzes vor bekannten CVEs kann nicht genug betont werden.

Bereits 2015 berichtete Kenna Security über eine Studie, die an einer Stichprobe von 50.000 Organisationen mit 250 Millionen Schwachstellen und über einer Milliarde (MILLIARDE) Sicherheitsverletzungen durchgeführt wurde. Dabei stieß man auf zwei sehr interessante Erkenntnisse hinsichtlich der Behebung von Schwachstellen:

  • Im Durchschnitt benötigen Unternehmen 100 bis 120 Tage, um Schwachstellen zu beheben.
  • Nach 40–60 Tagen liegt die Wahrscheinlichkeit, dass ein CVE ausgenutzt wird, bei über 90 Prozent.
  • Die Zeitspanne zwischen der wahrscheinlichen Ausnutzung einer Schwachstelle und der Schließung dieser beträgt etwa 60 Tage.

Mit anderen Worten: In den meisten Organisationen wird wahrscheinlich ein CVE ausgenutzt, bevor sie eine Chance zur Behebung haben. Falls Sie nicht aufgepasst haben: Eine Reihe *sehr* spektakulärer Sicherheitsverstöße konnten auf CVEs zurückgeführt werden. So, super, mega, super, hochkarätig. Betrachten Sie einige der Plattformen und Bibliotheken mit CVEs: Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails und WordPress. Dies trifft heutzutage auf die meisten Apps im Internet zu.

Sie möchten daher unbedingt Regeln einsetzen, mit denen Sie Ihre Anwendung praktisch gegen die Ausnutzung von CVEs schützen können, sobald diese bekannt werden. Sie sollten sie dennoch an der Quelle patchen (normalerweise die Plattform oder die Drittanbieterbibliothek), aber in der Zwischenzeit ist Ihre App vor einem Verstoß geschützt.

Diese Behebungslücke – und der Mangel an Sicherheitsexpertise – machen verwaltete Regeln in der Cloud zu einer so guten Idee. Experten warten sie und stellen sicher, dass sie auf dem neuesten Stand sind und Apps vor Exploits schützen können. Sie müssen sie nur noch bereitstellen.  

Bot-Schutz

Mehr als die Hälfte aller App-Besucher sind heutzutage Bots. Und nicht die guten Spider-Bots, die Ihre Site crawlen, um sie zu indizieren und über Suchmaschinen verfügbar zu machen. Wir sprechen von einem zwielichtigen Bot vom Typ Decepticon, der nach Schwachstellen sucht, SPAM in Ihre Communities schiebt, Ihre Site durchsucht oder an einem Botnet-basierten DDOS-Schema teilnimmt.

Die Abwehr von Bots ist nicht einfach. Captchas probieren ständig neue Methoden aus, um Bots zu identifizieren und zu blockieren, aber wie die saisonale Grippe passen sich diese lästigen Biester immer wieder an und umgehen die Abwehrmaßnahmen.

Dennoch weisen bösartige Bots Verhaltensweisen auf, die erkannt und als unerwünscht identifiziert werden können. Mithilfe von Bot Defense-Regeln können Sie auf Verhaltensweisen und Aktivitäten achten, die auf böse Absichten hinweisen, und diese daran hindern, mit Ihrer Anwendung zu interagieren. Wir haben in den letzten beiden Quartalen einen Anstieg des Prozentsatzes der Organisationen beobachtet, die Bot-Abwehrdienste nutzen, und angesichts der aktuellen Lage erwarten wir, dass sich dieser Trend fortsetzt.

Durch die Bereitstellung einer Bot-Schutzregel für Apps in der Cloud kann eine Luftabdeckung bereitgestellt werden, die die Ausnutzung von CVE-Programmen verhindert, bevor sie stattfindet.

Web App Firewall oder verwaltete Regeln


Es ist wichtig zu beachten, dass einige Apps vor allen drei Bedrohungen geschützt werden müssen. Wieder andere benötigen Schutz vor mehr als nur Bots, CVEs und den OWASP Top Ten. Einige benötigen eine Datenbereinigung und Leckprävention sowie anwendungsspezifischere Abwehrmaßnahmen. Ein gutes Beispiel ist die Schemavalidierung, insbesondere beim Akzeptieren von Daten aus unbekannten Quellen. L7 (Anwendungsschicht) DDoS ist ein weiteres. Auch die Protokolldurchsetzung ist zum Schutz vor TCP- oder HTTP-basierten Schwachstellen von unschätzbarem Wert. Wenn Sie mehr als eine (1) Regel oder zusätzlichen Schutz benötigen, sollten Sie sich für ein voll funktionsfähiges Advanced WAF entscheiden. Und während die Funktionen und Kunden Ihrer App wachsen, sollten Sie auch darauf achten, den Schutz dafür zu erweitern.

Unabhängig davon sind verwaltete Regeln eine hervorragende Möglichkeit, mit dem App-Schutz in der Cloud zu beginnen. Sie bieten eine solide Grundlage für die Sicherheit von Webanwendungen, ohne dass Sie selbst zum Sicherheitsexperten werden müssen. 

Schließen Sie sich AWS und F5 an, um zu erfahren, wie die F5 WAF Ihnen dabei helfen kann, Ihre Daten zu schützen, Compliance-Vorschriften einzuhalten und einen kontinuierlichen Schutz für Ihre Cloud-Workloads zu gewährleisten.

Nehmen Sie am Webinar teil und erfahren Sie:

  • Wichtige Anwendungs- und Architekturüberlegungen zur Auswahl der richtigen WAF
  • So schützen F5 WAF-Lösungen Ihre Daten vor bekannten und unbekannten Bedrohungen
  • So können Sie automatisierte Lernfunktionen nutzen, um selbst die raffiniertesten Angriffe auf Ihre Daten zu verhindern


Datum und Uhrzeit des Webinars:
Mittwoch, 25. April 2018 | 10:00 Uhr PT

Jetzt registrieren >