BLOG

Was macht eine WAF fortschrittlich?

Brian A. McHenry Miniaturbild
Brian A. McHenry
Veröffentlicht am 10. April 2018

Da sich die Bedrohungslandschaft weiterentwickelt, müssen auch unsere Sicherheitskontrollen und Gegenmaßnahmen angepasst werden. Die fortschrittlichsten Perimeter-Bedrohungen durch Datenverlust oder Exfiltration treten auf der Anwendungsebene auf, wodurch die meisten Firewalls der nächsten Generation (NGFW) und Intrusion Prevention-Systeme (IPS) deutlich weniger effektiv sind. Dieser Effekt wird noch dadurch verstärkt, dass die meiste Kommunikation auf verschlüsselte Datenkanäle verlagert wird, die von NGFW oder IPS nicht gut unterstützt werden, insbesondere in großem Maßstab. Web Application Firewalls (WAF) sind speziell dafür konzipiert, jede HTTP-Anfrage auf Anwendungsebene zu analysieren und für SSL/TLS eine vollständige Entschlüsselung durchzuführen.

In den letzten Jahren blieben die meisten WAF-Technologien weitgehend unverändert und waren wie die verwandten NGFW- und IPS-Technologien passive, filterbasierte Erkennungssysteme. WAF-Systeme wenden Protokollkonformität (Gewährleistung einer wohlgeformten Anfrage) und Signaturvergleiche (Gewährleistung, dass kein bösartiger Inhalt bekannt ist) an, um potenzielle Angriffe zu filtern und zu blockieren. Es wurden zusätzliche Funktionen hinzugefügt, um Sitzungs- und Benutzerbewusstsein zu ermöglichen und so Hijacking und Brute-Force-Angriffe zu bekämpfen. Außerdem werden IP-Reputations-Feeds angewendet, um bekanntermaßen schädliche Quellen wie Botnetze, Anonymisierer und andere Bedrohungen herauszufiltern. Dabei handelt es sich noch immer größtenteils um passive Technologien im Umkreis des Rechenzentrums mit sehr begrenzter Kapazität zur Abfrage des Clients.

 Über die aktuelle Bedrohungslandschaft wissen wir einiges:

  • Die meisten Bedrohungen laufen automatisch ab. Angreifer automatisieren das Scannen nach Schwachstellen. Sie automatisieren auch das Anhäufen von Ressourcen, etwa den Kauf von Tickets oder Sneakers zum Weiterverkauf auf dem Graumarkt. Distributed Denial-of-Service (DDoS)-Angriffe steuern wir vollständig automatisiert, um Datenvolumen von über 1 Tbps zu ermöglichen, die inzwischen üblich sind. Automation erkennen wir schwer, da sie oft so gestaltet ist, dass sie legitimen Verkehr imitiert und unentdeckt bleibt. Technologien wie CAPTCHA nutzen wir zwar zur Erkennung solcher Automatisierungen, doch diese Verfahren verlieren mit der Zeit an Wirksamkeit und verschlechtern das Nutzererlebnis legitimer Anwender.
     
  • Credential Stuffing ist eine spezielle Art automatisierter Angriffe, bei denen Milliarden bekannter Benutzernamen- und Passwortkombinationen aus früheren Sicherheitsverletzungen ausgenutzt werden. Aktuellen Bedrohungsberichten zufolge war die Verwendung gestohlener Anmeldeinformationen im Jahr 2017 die am weitesten verbreitete Art von Anwendungsangriffen. Diese Angriffe zielen auf die Wiederverwendung von Passwörtern ab, die bei Internet-Durchschnittsbürgern weit verbreitet ist. Credential Stuffing ist besonders schwer zu erkennen, da diese Anfragen nicht nur normal aussehen, sondern häufig auch von vornherein „niedrig und langsam“ sind, um nicht als Brute-Force-Angriff erkannt zu werden.
     
  • Malware ist allgegenwärtig und nutzt Schwachstellen in Browsern und deren Anwendern gezielt aus. Malware verbreitet sich auf vielfältige Weise, etwa über E-Mail-Anhänge, bösartige Links in sozialen Medien oder Werbeanzeigen. Komprimittierte Geräte setzen wir gezielt ein, um andere Websites durch DDoS-Angriffe, Datendiebstahl und Ressourcenmissbrauch anzugreifen. Sie haben nur begrenzte Erkennungs- und Abwehrmöglichkeiten, wenn Ihr Client-Gerät nicht von einem erfahrenen IT-Infosec-Team betreut wird.
     
  • DDoS-Angriffe sind nicht nur volumetrischer Natur. Viele Angriffe zielen darauf ab, Serverressourcen irgendwo im Anwendungs-Stack, den Anwendungsservern, der Middleware oder der Back-End-Datenbank zu erschöpfen. Wir erkennen diese Situationen nur schwer, weil der Datenverkehr die meisten Standardprüfungen zur Eingabevalidierung besteht.


Einfach ausgedrückt umgehen diese Angriffe praktisch alle herkömmlichen WAF-Erkennungsmechanismen, da sie oft in keiner Weise fehlerhaft erscheinen. Die Wirksamkeit von IP-Adress-Reputations-Feeds ist begrenzt, da es eine nahezu unerschöpfliche Anzahl leicht kompromittierbarer Ziele gibt, darunter Kabelmodems, IoT-Geräte, öffentliche Cloud-Serverinstanzen und mehr. Die Informationen zur Quelladresse ändern sich zu schnell, als dass selbst ein Crowdsourcing-Feed den für diese Angriffsmethoden typischen Automatisierungsgrad wirksam bekämpfen könnte. Zur Bekämpfung dieser Bedrohungen ist eindeutig eine fortschrittlichere Web Application Firewall erforderlich.

Die gute Nachricht ist, dass die Advanced WAF -Technologie bereits seit einiger Zeit verfügbar ist. F5 hat vor fast einem Jahrzehnt mit der Einführung des Web Scraping-Schutzes im Jahr 2009 eine Technologie zur CAPTCHA-freien Erkennung von Bots entwickelt, die versuchen, Preisdaten von Online-Händlern abzugreifen. F5 hat diese Technologie kontinuierlich weiterentwickelt und zu der heute als Proactive Bot Defense bekannten Lösung erweitert, die 2015 eingeführt wurde. Proactive Bot Defense (PBD) ermöglicht die Abfrage des anfragenden Clients, um zu überprüfen, ob ein menschlicher Benutzer mit einem legitimen Browser anwesend ist. Dies ist eine weitaus effektivere Lösung, als sich auf das Blockieren bekannter Botnetze anhand der IP-Adresse zu verlassen.

Mit dem neuen Angebot F5 Advanced WAF erweitert F5 seine marktführende WAF-Technologie um die notwendigen Funktionen zum Kampf gegen die sich entwickelnden Bedrohungen in der Anwendungssicherheitslandschaft. Advanced WAF umfasst:

  • Proaktive Bot-Abwehr. Durch die Nutzung modernster Fingerprinting- und Challenge/Response-Techniken in Verbindung mit anderen Verhaltensanalysen ermöglicht PBD die Erkennung und Blockierung automatisierter Bedrohungen auf Sitzungsebene.
     
  • Verhaltensbasierte DoS-Erkennung und -Abwehr auf Layer 7 . Das Advanced WAF kann den Datenverkehr dynamisch profilieren und Signaturen für anomale Datenverkehrsmuster erstellen. So werden Layer-7-DoS-Angriffe gestoppt, bevor sie Ihre Anwendung beeinträchtigen.
     
  • DataSafe- Anmeldeinformationsschutz. DataSafe verschlüsselt Seiteninhalte dynamisch, um Man-in-the-Browser-Angriffe zu verhindern, die normalerweise durch Malware verursacht werden. Darüber hinaus verschlüsselt DataSafe die Anmeldeinformationen dynamisch während der Eingabe, um den Benutzer im Browser zu schützen.
     
  • Anti-Bot Mobile SDK- Integration. Die von Proactive Bot Defense verwendeten Techniken dienen der Identifizierung legitimer Browser. Für mobile Apps ist kein Browser vorhanden. Das Anti-Bot Mobile SDK ermöglicht es Organisationen, Bots mit fortschrittlichen Techniken sogar auf mobilen API-Endpunkten zu bekämpfen.


F5 Advanced WAF ist eine dedizierte Sicherheitsplattform, die die fortschrittlichsten Anwendungssicherheitsfunktionen bietet, die derzeit auf dem Markt erhältlich sind. F5 hat es sich zur Aufgabe gemacht, modernste Anwendungssicherheitslösungen anzubieten, um selbst die raffiniertesten Angriffe abzuwehren. Freuen Sie sich in Zukunft auf weitere Weiterentwicklungen der Advanced WAF -Plattform.