Was macht eine WAF fortschrittlich?

Da sich die Bedrohungslandschaft weiterentwickelt, müssen auch unsere Sicherheitskontrollen und Gegenmaßnahmen angepasst werden. Die fortschrittlichsten Perimeter-Bedrohungen durch Datenverlust oder Exfiltration treten auf der Anwendungsebene auf, wodurch die meisten Firewalls der nächsten Generation (NGFW) und Intrusion Prevention-Systeme (IPS) deutlich weniger effektiv sind. Dieser Effekt wird noch dadurch verstärkt, dass die meiste Kommunikation auf verschlüsselte Datenkanäle verlagert wird, die von NGFW oder IPS nicht gut unterstützt werden, insbesondere in großem Maßstab. Web Application Firewalls (WAF) sind speziell dafür konzipiert, jede HTTP-Anfrage auf Anwendungsebene zu analysieren und für SSL/TLS eine vollständige Entschlüsselung durchzuführen.

In den letzten Jahren blieben die meisten WAF-Technologien weitgehend unverändert und waren wie die verwandten NGFW- und IPS-Technologien passive, filterbasierte Erkennungssysteme. WAF-Systeme wenden Protokollkonformität (Gewährleistung einer wohlgeformten Anfrage) und Signaturvergleiche (Gewährleistung, dass kein bösartiger Inhalt bekannt ist) an, um potenzielle Angriffe zu filtern und zu blockieren. Es wurden zusätzliche Funktionen hinzugefügt, um Sitzungs- und Benutzerbewusstsein zu ermöglichen und so Hijacking und Brute-Force-Angriffe zu bekämpfen. Außerdem werden IP-Reputations-Feeds angewendet, um bekanntermaßen schädliche Quellen wie Botnetze, Anonymisierer und andere Bedrohungen herauszufiltern. Dabei handelt es sich noch immer größtenteils um passive Technologien im Umkreis des Rechenzentrums mit sehr begrenzter Kapazität zur Abfrage des Clients.

 Über die aktuelle Bedrohungslandschaft wissen wir einiges:

• Die meisten Bedrohungen sind automatisierter Natur. Angreifer automatisieren die Suche nach Schwachstellen. Sie automatisieren die Hortung von Ressourcen, etwa den Kauf von Tickets oder Turnschuhen für den Weiterverkauf auf dem Graumarkt. Distributed-Denial-of-Service-Angriffe (DDoS) sind vollständig automatisiert und ermöglichen Angriffe mit einem Datenvolumen von über 1 Tbit/s, wie es mittlerweile alltäglich ist. Automatisierung ist schwer zu erkennen, da sie oft so konzipiert ist, dass sie guten Verkehr vortäuscht und unentdeckt bleibt. Technologien wie CAPTCHA wurden verwendet, um eine solche Automatisierung zu erkennen, aber diese Überprüfungsmethoden erweisen sich mit der Zeit als unwirksam und beeinträchtigen die Erfahrung legitimer Benutzer.
   
• Credential Stuffing ist eine spezielle Art automatisierter Angriffe, bei denen Milliarden bekannter Benutzernamen- und Passwortkombinationen aus früheren Sicherheitsverletzungen ausgenutzt werden. Aktuellen Bedrohungsberichten zufolge war die Verwendung gestohlener Anmeldeinformationen im Jahr 2017 die am weitesten verbreitete Art von Anwendungsangriffen. Diese Angriffe zielen auf die Wiederverwendung von Passwörtern ab, die bei Internet-Durchschnittsbürgern weit verbreitet ist. Credential Stuffing ist besonders schwer zu erkennen, da diese Anfragen nicht nur normal aussehen, sondern häufig auch von vornherein „niedrig und langsam“ sind, um nicht als Brute-Force-Angriff erkannt zu werden.
   
• Malware ist weit verbreitet und wird verwendet, um Schwachstellen in Browsern und den Benutzern, die diese Browser bedienen, auszunutzen. Malware kann auf vielen Wegen verbreitet werden – von E-Mail-Anhängen bis hin zu bösartigen Links in sozialen Medien und Anzeigen. Diese kompromittierten Maschinen werden für DDoS-Angriffe, Datendiebstahl und Ressourcenhortung auf andere Websites verwendet. Sofern der Client-Rechner nicht von einem erfahrenen IT-Infosec-Team verwaltet wird, stehen nur begrenzte Erkennungs- und Schadensbegrenzungsmethoden zur Verfügung.
   
• DDoS-Angriffe sind nicht nur volumetrischer Natur. Viele Angriffe zielen darauf ab, irgendwo im Anwendungsstapel, den Anwendungsservern, der Middleware oder der Back-End-Datenbank eine Erschöpfung der Ressourcen zu verursachen. Das Erkennen dieser Bedingungen kann schwierig sein, da der Datenverkehr den meisten standardmäßigen Eingabevalidierungsprüfungen entspricht.

Einfach ausgedrückt umgehen diese Angriffe praktisch alle herkömmlichen WAF-Erkennungsmechanismen, da sie oft in keiner Weise fehlerhaft erscheinen. Die Wirksamkeit von IP-Adress-Reputations-Feeds ist begrenzt, da es eine nahezu unerschöpfliche Anzahl leicht kompromittierbarer Ziele gibt, darunter Kabelmodems, IoT-Geräte, öffentliche Cloud-Serverinstanzen und mehr. Die Informationen zur Quelladresse ändern sich zu schnell, als dass selbst ein Crowdsourcing-Feed den für diese Angriffsmethoden typischen Automatisierungsgrad wirksam bekämpfen könnte. Zur Bekämpfung dieser Bedrohungen ist eindeutig eine fortschrittlichere Web Application Firewall erforderlich.

Die gute Nachricht ist, dass die Advanced WAF -Technologie bereits seit einiger Zeit verfügbar ist. F5 hat vor fast einem Jahrzehnt mit der Einführung des Web Scraping-Schutzes im Jahr 2009 eine Technologie zur CAPTCHA-freien Erkennung von Bots entwickelt, die versuchen, Preisdaten von Online-Händlern abzugreifen. F5 hat diese Technologie kontinuierlich weiterentwickelt und zu der heute als Proactive Bot Defense bekannten Lösung erweitert, die 2015 eingeführt wurde. Proactive Bot Defense (PBD) ermöglicht die Abfrage des anfragenden Clients, um zu überprüfen, ob ein menschlicher Benutzer mit einem legitimen Browser anwesend ist. Dies ist eine weitaus effektivere Lösung, als sich auf das Blockieren bekannter Botnetze anhand der IP-Adresse zu verlassen.

Mit dem neuen Angebot F5 Advanced WAF erweitert F5 seine marktführende WAF-Technologie um die notwendigen Funktionen zum Kampf gegen die sich entwickelnden Bedrohungen in der Anwendungssicherheitslandschaft. Advanced WAF umfasst:

• Proaktive Bot-Abwehr. Durch die Nutzung modernster Fingerprinting- und Challenge/Response-Techniken in Verbindung mit anderen Verhaltensanalysen ermöglicht PBD die Erkennung und Blockierung automatisierter Bedrohungen auf Sitzungsebene.
   
• Verhaltensbasierte DoS-Erkennung und -Abwehr auf Layer 7 . Das Advanced WAF kann den Datenverkehr dynamisch profilieren und Signaturen für anomale Datenverkehrsmuster erstellen. So werden Layer-7-DoS-Angriffe gestoppt, bevor sie Ihre Anwendung beeinträchtigen.
   
• DataSafe- Anmeldeinformationsschutz. DataSafe verschlüsselt Seiteninhalte dynamisch, um Man-in-the-Browser-Angriffe zu verhindern, die normalerweise durch Malware verursacht werden. Darüber hinaus verschlüsselt DataSafe die Anmeldeinformationen dynamisch während der Eingabe, um den Benutzer im Browser zu schützen.
   
• Anti-Bot Mobile SDK- Integration. Die von Proactive Bot Defense verwendeten Techniken dienen der Identifizierung legitimer Browser. Für mobile Apps ist kein Browser vorhanden. Das Anti-Bot Mobile SDK ermöglicht es Organisationen, Bots mit fortschrittlichen Techniken sogar auf mobilen API-Endpunkten zu bekämpfen.

F5 Advanced WAF ist eine dedizierte Sicherheitsplattform, die die fortschrittlichsten Anwendungssicherheitsfunktionen bietet, die derzeit auf dem Markt erhältlich sind. F5 hat es sich zur Aufgabe gemacht, modernste Anwendungssicherheitslösungen anzubieten, um selbst die raffiniertesten Angriffe abzuwehren. Freuen Sie sich in Zukunft auf weitere Weiterentwicklungen der Advanced WAF -Plattform.