Under Attack?
Search
Menu

Fünf häufige Irrtümer beim Applikationsschutz

By Ben ZilbermanJuli 15, 2021

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Jedes Jahr investieren Unternehmen viel Geld in die neuesten Sicherheitstechnologien, um die Vertraulichkeit ihrer Daten und die Benutzerfreundlichkeit zu gewährleisten. CISOs setzen auf maschinelles Lernen, Automatisierung und die Koordination von Ereignisanalyse und Abwehrmaßnahmen. Außerdem vertrauen sie Public-Cloud-Anbietern und ihrem Systemintegrator. Trotzdem kommt es weiterhin zu Datensicherheitsverletzungen.

1. Irrtum: „Ich dachte, eine WAF reicht aus“

Das Ignorieren zusätzlicher Bedrohungen für Applikationen geht längst über Exploits hinaus, bei denen die von OWASP aufgelisteten Top-10-Risiken für Webapplikationen ausgenutzt werden. Natürlich sind Injections, Cross-Site-Scripting, CSRF, Session-Hijacking und Cookie-Poisoning weiterhin an der Tagesordnung, insbesondere weil so viele ältere Systeme mit Sicherheitslücken eingesetzt werden. Entwicklungsteams legen mehr Wert auf Agilität als auf Sicherheit. Die Angriffsfläche und damit die Risiken sind heutzutage jedoch wesentlich größer.

Drei weitere Bedrohungen, die es abzuwehren gilt:

1. Schädliche Bots – Ein Viertel des Internetdatenverkehrs wird von bösartigen Bots generiert [CB1]. Angesichts der Netzwerkauslastung und der ständigen Versuche, Benutzerkonten zu übernehmen, Online-Transaktionen zu manipulieren und sensible Daten auszuspähen, können sich Unternehmen nicht nur auf ihre Web Application Firewall verlassen – oder sogar mühsam eigene maßgeschneiderte Skripte entwickeln. Stattdessen müssen sie sich über eine spezialisierte Bot-Management-Lösung Gedanken machen, die gute Bots zielsicher hereinlässt und heimtückischen Bots einen Riegel vorschiebt.

2. API-Schutz – für miteinander verbundene Systeme und Applikationen, die Daten über APIs austauschen. Diese gelten gemeinhin als vertrauenswürdig und können somit leicht übersehen werden. Datendiebstahl über mangelhaft geschützte APIs hat bereits mehrfach für Schlagzeilen gesorgt (PaneraBread, Venmo, Boots usw.). Unternehmen wissen nicht immer genau Bescheid, welche APIs sie besitzen, welche Daten verarbeitet werden und wer darauf zugreifen kann. Deshalb benötigen sie ein geeignetes Tool zum Erkennen, Klassifizieren und Schützen aller API-Endpunkte.

3. Denial of Service – ein Problem, das längst nicht mehr nur Netzwerkbetreiber betrifft. Webserver und digitale Assets werden häufig von Kriminellen angegriffen, die Services unterbrechen oder eine Website lahmlegen möchten. Deshalb wird wärmstens empfohlen, umfassenden DDoS-Schutz in die Strategie für Applikationssicherheit zu integrieren.

2. Irrtum – „Ich war versucht, meine WAF mit dem CDN-Dienst zu bündeln“

Das hört sich zunächst sinnvoll an. Wenn Ihnen Leistung wichtiger ist als Ihre sensiblen Kundendaten, können Sie das so machen. Doch wenn Ihnen der Schutz des Unternehmens und seiner Benutzerdaten am Herzen liegt, sollten Sie diese Maßnahme noch einmal überdenken. Aufgrund ihrer Architektur kann eine WAF an der Netzwerkgrenze den Datenverkehr pro Applikation nicht sehen und somit keine Lernmechanismen, Anomalie-Erkennung und positive Sicherheit anwenden. Dadurch fehlt der Zero-Day-Schutz. Bei diesen Applikationen können Datenlecks entstehen, da sie vor unbekannten Angriffsmethoden nicht geschützt sind.

In Public-Cloud-Umgebungen ist diese Lücke sogar noch größer, weil die WAF-Technologie des IaaS-Providers – die nicht von einem spezialisierten Unternehmen stammt – in Analystenberichten in der Regel schlecht abschneidet. Mehr dazu in unserem früheren Blogartikel.

3. Irrtum – „Ich kann dieselbe Sicherheit auf allen Plattformen durchsetzen“

Das ist in der Tat ein wunder Punkt. Unternehmen, die dieselbe Richtlinie für Applikationssicherheit über alle Umgebungen hinweg anwenden möchten – Rechenzentren, private Cloud, Azure, AWS, GCP und Alibaba oder Tencent – müssen zwangsläufig Kompromisse eingehen. Das liegt daran, dass jede Umgebung und jeder Anbieter bestimmte Anpassungen erfordert, z. B. Zugriffsberechtigungen, Infrastrukturschutz, Authentifizierungs- und Autorisierungsmechanismen, Bot-Traffic-Kontrollen, API-Sicherheitstools am Backend usw.

Wenn Sie sich für Konsistenz entscheiden (z. B. einen Cloud-basierten gemanagten Service), müssen Sie sowohl bei der Benutzererfahrung (Latenz) als auch bei der Sicherheit (siehe Punkt 2 oben) Abstriche machen. Setzen Sie hingegen auf Sicherheitsoptimierung, müssen Sie für jede Umgebung maßgeschneiderte Lösungen finden und diese mit viel Zeit- und Ressourcenaufwand ständig aktualisieren, um die vom CISO gewünschte Sicherheitsrichtlinie durchzusetzen.

Auch in diesem Szenario wird Ihr Sicherheitskonzept zum „Schweizer Käse“, dessen potenzielle Konsequenzen offensichtlich sind. Hier finden Sie einige empfohlene Praktiken.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

4. Irrtum – „Ich dachte, ich könnte alle Ausnahmen selbst verwalten“

Web Application Firewalls genießen seit jeher einen schlechten Ruf – und das aus gutem Grund. Zu viele legitime Regeln wurden durch Regeln und Konfigurationen blockiert, die nicht mit den Geschäftsanforderungen im Einklang standen. Die Auswirkungen davon können verheerend sein, denn eine schlechte Nutzererfahrung führt zu einer negativen Markenbewertung und zu sinkenden Umsätzen. Die TCO für die Verwaltung einer WAF im eigenen Haus kann aufgrund des Arbeitsaufwands sehr hoch sein. Außerdem ist dies eine Sache für Experten – insbesondere wenn alle der oben genannten Sicherheitsbedrohungen berücksichtigt werden. Weniger geschulte Blicke können die zahllosen Alarmmeldungen von verschiedenen Einzellösungen nicht gezielt filtern. Durch eine konsolidierte Strategie für Applikationssicherheit, die von Experten mit fortschrittlicher Automatisierung und aussagekräftigen Analysen verwaltet wird, sinkt die TCO erheblich. Gleichzeitig wird Sicherheit im Handumdrehen bereitgestellt.

[Das könnte Sie auch interessieren: How To Achieve Application Protection Behind AWS/Azure CDN]

5. Irrtum – „Ich dachte, DevOps würde zuhören“

Manche Angriffe sind aufgrund mangelhafter und unzusammenhängender Sicherheitsmaßnahmen erfolgreich, die von fehlerhaften Prozessen und internen Konflikten geprägt sind. Moderne Applikationsentwicklung und Sicherheitsverfahren sind so dynamisch, dass Sicherheitslösungen und vor allem Mitarbeiter nicht mehr Schritt halten können. Aus Sicht der Entwickler stehen so viele Möglichkeiten zur Verfügung, um mit automatisierten Bereitstellungs-, Test- und Orchestrierungstools die perfekte CI/CD-Pipeline zu erstellen. Agilität bedeutet zügiges Voranschreiten – zur nächsten Version, zum nächsten Patch, zum nächsten Bugfix – anstatt abzubremsen, um jede Transaktion oder jedes Modul zu überprüfen. Weil Produktivität immer an erster Stelle steht, muss Sicherheit irgendwie mitziehen. Mit diesem heiklen Gleichgewicht geht jedes Unternehmen auf seine Weise um. Da DevOps immer mehr Einfluss auf sicherheitsrelevante Entscheidungen nehmen, müssen die für Informationssicherheit zuständigen Mitarbeiter berücksichtigen, dass eine Applikationssicherheitslösung weit mehr leisten muss, als nur Angriffe abzuwehren. Sie sollte sich gut in das SDLC-System einfügen und anpassungsfähig sein, um die Richtlinie nach jeder Änderung an der Applikation wieder genau darauf abzustimmen. Außerdem müssen die Leistungskennzahlen und die umgebungsübergreifende Automatisierung für DevOps hinreichend transparent sein. So lässt sich der Prozess sinnvoll gestalten, damit alle Beteiligten zufrieden sind.

Die Vermeidung dieser Irrtümer ermöglicht eine Strategie für Applikationssicherheit mit folgenden Merkmalen:

• Konsistent

• Transparent

• Anpassungsfähig

• Effektiv

Une image contenant texte, extérieur, signe, jour Description générée automatiquement

Laden Sie den „Hacker’s Almanac 2021 – Series 1“ von Radware herunter.

Posted in: Application SecurityTags:

Ben Zilberman

Ben Zilberman is a director of product-marketing, covering application security at Radware. In this role, Ben specializes in web application and API protection, as well as bot management solutions. In parallel, Ben drives some of Radware’s thought leadership and research programs. Ben has over 10 years of diverse experience in the industry, leading marketing programs for network and application security solutions, including firewalls, threat prevention, web security and DDoS protection technologies. Prior to joining Radware, Ben served as a trusted advisor at Check Point Software Technologies, where he led channel partnerships and sales operations. Ben holds a BA in Economics and a MBA from Tel Aviv University.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
Close

What are you looking for?