Die selbstlernende Web Application Firewall: nur ein Marketing-Mythos?

Web Application Firewalls (WAFs) sind im Zeitalter der Internet-Ökonomie ebenso wichtige wie technisch schwierige IT-Gebilde. Integrierte und automatische Lernprozesse scheinen eine interessante Lösung zu sein. Doch die meisten Ansätze stecken noch in den Kinderschuhen.

Webapplikationen sind heutzutage hochdynamische Konstrukte, von deren einwandfreiem Funktionieren Millionenumsätze und unter Umständen sogar die Existenz ganzer Unternehmen abhängen. Eine Manipulation einer derartigen Anwendung, in die in aller Regel auch Zugriffe auf geschäftlich sensible Datenbanken integriert sind, muss also mit allen Mitteln ausgeschlossen sein.

Das zu bewerkstelligen, ist jedoch alles andere als einfach. Denn auch wenn für die Programmierung und Codierung ausreichende Sorgfalt und Kompetenz aufgewandt wurden, sind Fehler im Code nicht auszuschließen. Das Problem verschärft sich noch einmal, wenn Fremdprogramme eingebunden werden, deren Code man entweder nicht interpretieren kann oder auf den man überhaupt keinen Zugriff hat.

Um Webapplikationen möglichst gut zu schützen, werden deshalb in der Regel Filtermechanismen eingesetzt, die nicht zulässige oder verdächtige Eingaben in den Browser erkennen und abwehren. Für diese Filter hat sich der Begriff Web Application Firewall (WAF) eingebürgert.

„WAFs stellen als Infrastrukturkomponente neben der sicheren Anwendungsentwicklung die zuverlässigste zusätzliche Schutzmaßnahme auf Anwendungsebene dar, um sowohl Abgriffe auf die aktiven Benutzer als auch auf die Datenintegrität der produktiven Webanwendungen selbst zu verhindern“, umreißt Norman Wenk, Business Development Manager beim Security-Dienstleister Integralis die Aufgabe der WAFs. Es sei allerdings zu beachten, so Wenk, dass die Entwicklung eines entsprechenden Regelwerks und dessen Änderungen von bestimmten Rahmenfaktoren abhängen. Dies beträfen die Art der Webanwendung (Standards wie SAP-Portal oder MS Sharepoint oder Nicht-Standards), die Änderungsdynamik der Darstellung und der Inhalte, aber auch die Organisation der IT in dem jeweiligen Unternehmen (Frage der Verantwortlichkeit).

Honigfallen für den Angreifer

Der manuelle Aufbau eines verlässlich funktionierenden WAF-Regelwerks ist eine sehr langwierige und leider auch fehleranfällige Sache – gerade wenn die Webapplikation durch eine hohe Änderungsdynamik gekennzeichnet ist. Daher verwenden moderne Web Application Firewalls Automatismen zum Erlernen von (korrekten) Anfragen und den entsprechenden Reaktionen, sodass die Regelwerkserstellung zumindest teilweise automatisiert werden kann.

Martin Dombrowski, Security Engineer Central EMEA bei Imperva (Bild: Imperva).
Martin Dombrowski, Security Engineer Central EMEA bei Imperva (Bild: Imperva).

Recht weit in dieser Technik ist beispielsweise der Anbieter Imperva mit seinem „Dynamic Profiling“, mit dem unbekannte Schwachstellen erlernt werden können. Die Gefahr von Fehlalarmen wird dabei erst einmal erhöht, aber durch „mitgelieferte Policys und wenige Anpassungen können IT-Verantwortliche False Positives praktisch ausschließen und trotzdem ein hohes Sicherheitslevel umsetzen“, meint zumindest Martin Dombrowski, Security Engineer Central EMEA bei Imperva.

Kein Zweifel, dass ein solches automatisiertes kontinuierliches Lernen die WAF-Technologie erheblich nach vorne bringen und den sonst anzutreffenden Konflikt zwischen Nutzerkomfort und Sicherheit deutlich entschärfen würde. „Wer freilich eine deterministische Policy bevorzugt, dem werden Mechanismen wie ‚continuous learning‘ nur bedingt gefallen, sagt Stefan Strobel, IT-Sicherheitsexperte und Geschäftsführer des Consulting-Unternehmens Cirosec. Trotzdem findet Strobel solche automatisierten Lernfunktionen wichtig und interessant, mindestens ebenso interessant seien aber auch neue WAF-Ideen wie Honey-Token-basierte Funktionen, die die Intention des Anwenders beziehungsweise Angreifers offen legen und die beispielsweise von dem WAF-Newcomer Mykonos implementiert würden.

Vollautomatik und False Positives

Stefan Strobel, IT-Sicherheitsexperte und Geschäftsführer des Consulting-Unternehmens Cirosec (Bild: Cirosec).
Stefan Strobel, IT-Sicherheitsexperte und Geschäftsführer des Consulting-Unternehmens Cirosec (Bild: Cirosec).

Die Schattenseiten vollautomatischer WAFs spricht Wieland Alge, General Manager EMEA bei Barracuda Networks an. Mit dem Lernmodus werde jede URL und jeder Parameter in einem Datenstrom indexiert, um eine Positivliste zugelassener URLs und Parameter zu erstellen. In der Praxis sei aber eine solche Whitelist kompliziert zu verwalten und es bestehe die ständige Gefahr, dass die Einstellungen veraltet seien. Reine Negativlisten böten wiederum zu viele Schlupflöcher. Alge plädiert daher für eine Kombination von Positiv- und Negativliste.

Um dies in der Praxis handhabbar zu machen, sollten Vorlagen für eine negatives Sicherheitsprofil benutzt werden, beispielsweise für Standardanwendungen wie Outlook-, Web Access-, Sharepoint- oder Oracle-Applikationen, die dann um Whitelists für wichtige Bereiche erweitert würden. Zur Vermeidung einer großen Zahl von False Positives sollte man dem Administrator Tools wie den Exception Profiler von Barracuda Networks zur Verfügung stellen, mit denen Eingaben zugelassen würden, die zwar gegen die Policys verstießen, aber aufgrund einer heuristischen Analyse dennoch als legitim eingestuft würden.

Wieland Alge, General Manager EMEA bei Barracuda Networks (Bild: Barrcauda Networks).
Wieland Alge, General Manager EMEA bei Barracuda Networks (Bild: Barrcauda Networks).

False Positives sind sicher einer der großen Nachteile vollautomatischer Lösungen. Das gilt nicht zuletzt auch für eine Integration von Penetrationstests und deren Ergebnissen in das WAF-Regelwerk. Deshalb sagt Norman Wenk von Integralis: „Die Ergebnisse automatisierter Penetrationstests sollten vor und nach dem Import zum Aufbau eines WAF-Regelwerks immer auf Plausibilität und wirkliche Ausnutzbarkeit beziehungsweise auf mögliche False Positives geprüft werden.“

Thomas Kohl, Country Manager Deutschland beim Anbieter Deny All, sieht das genauso: „Die WAF-Konfiguration bedarf immer einer menschlichen Plausibilitätsüberprüfung, die jedoch durch automatische Tools vereinfacht werden kann.“ Die selbstlernende und sich selbst konfigurierende WAF nennt Kohl einen „Marketing-Mythos“.

Darauf, dass derartige Tools indes immer noch in den Kinderschuhen stecken und Kohl Urteil daher möglicherweise zu streng ausfällt, weist Stefan Strobel von Cirosec hin: „Dass WAFs Änderungen automatisch erkennen und idealerweise Vorschläge für die Konfigurationsanpassung machen, ist zwar sinnvoll, klappt aber bisher erst in Ansätzen und ist nur bei wenigen Produkten verfügbar.“

Themenseiten: Barracuda Networks, Cirosec, Deny All, IT-Business, Imperva, Integralis, Mittelstand, Mykonos, Technologien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Die selbstlernende Web Application Firewall: nur ein Marketing-Mythos?

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *