Web Application Firewalls (WAFs) sind eine von vielen Sicherheitslösungen für Webanwendungen. Leider verstehen viele ihren Zweck oft nicht und benutzen sie als Ersatz für andere Lösungen, z. B. als Ersatz für Web-Schwachstellenscanner wie Acunetix. Die Lösungen sind aber so unterschiedlich wie nur möglich und der einzige Weg, das Beste aus ihnen herauszuholen, besteht darin, beide gleichzeitig zu verwenden und nicht die eine durch die andere Lösung zu ersetzen.
Viele Unternehmen kaufen eine WAF-Lösung und verwenden sie als einziges Mittel, um ihre Webanwendungen und APIs vor Angriffen zu schützen. Eine solche Lösung ist zwar bis zu einem gewissen Grad wirksam, vermittelt jedoch ein falsches Sicherheitsgefühl. Schließlich ist die Anwendung hinter der Web Application Firewall genauso unsicher wie vor der Installation der WAF. Alles, was ein böswilliger Hacker braucht, ist, den Echtzeit-WAF-Schutz zu umgehen, und er kann Chaos anrichten, als ob es überhaupt keinen Schutz gäbe.
Die Sicherheit von Webanwendungen erreicht man, indem Probleme an der Quelle beseitigt und nicht vor der Außenwelt verborgen werden. WAFs sind auf die Minderung von Bedrohungen und nicht auf die Beseitigung von Bedrohungen ausgelegt.
Webanwendungen können angegriffen werden, weil Entwickler Fehler machen. Durch solche Fehler können Hacker auf vertrauliche Daten zugreifen oder sogar den Webserver vollständig übernehmen und den Angriff auf andere Systeme eskalieren. Die einzige Möglichkeit, die Sicherheit Ihrer Webanwendung zu gewährleisten und verschiedene Arten von Angriffen zu verhindern, besteht darin, die im Open Web Application Security Project (in der OWASP Top 10-Liste) aufgeführten Probleme zu beseitigen, z. B. SQL-Injektionen, Cross-Site-Scripting ( XSS), Remote-Codeausführung (Code-Injection), Aufnahme lokaler / Remote-Dateien und mehr.
Um die Hauptursachen von Sicherheitsproblemen zu beseitigen und häufige Angriffe wirklich zu verhindern (und nicht nur zu erschweren), benötigen Sie ein Tool, das solche Probleme findet, aufdeckt und beweist. Acunetix scannt Ihre Webanwendung aktiv, weist auf Sicherheitsprobleme hin und beweist, dass diese real sind. Auf diese Weise können Ihre Entwickler ihre Fehler korrigieren.
Und eine WAF informiert nicht über Probleme, verbessert Ihre Sicherheitslage nicht und macht Ihre Entwickler möglicherweise sogar unachtsamer, wodurch Ihre Webanwendungen immer anfälliger für Angriffe werden. Wenn Sie also eine WAF verwenden, ohne die Hauptursachen für die Probleme mit einem DAST-Tool wie Acunetix zu beheben, verschlechtern Sie sich Sicherheit Ihrer Webanwendung sogar.
Wir und Acunetix selbst auch, empfehlen DAST Lösungen zusammen mit einem WAF zu verwenden.
Acunetix kann Schwachstellen in Webanwendungen finden, lokalisieren und nachweisen, diese jedoch nicht beseitigen. Sicherheitslücken sind nicht wie Viren – sie sind keine fremden Elemente, sondern Fehler, die Entwickler beim Schreiben Ihrer eigenen Software gemacht haben. Daher können nur Entwickler diese Schwachstellen beseitigen.
Entwickler sind normalerweise damit beschäftigt, neue Funktionen zu schreiben, aktuelle Webanwendungen zu verbessern und Fehler zu beheben. Wenn sie aber auch die Aufgabe haben, Ihren Anwendungscode neu zu schreiben, um ihn sicher zu machen, können sie dies nicht sofort tun. Vielfach stellen Manager solche Aufgaben in die Warteschlange, und es kann manchmal sogar Wochen oder Monate dauern, bis die Entwickler Zeit haben, eine bestimmte Sicherheitsschwachstelle zu beheben. Bis dahin ist Ihre Anwendung offen für Hacker!
Aus diesem Grund ist der beste Weg, eine WAF als eine Sicherheitsmaßnahme einzusetzen, die die Wahrscheinlichkeit eines Angriffs verringert, bis Ihre Entwickler Zeit haben, Schwachstellen zu beheben. Ein professionelles Tool wie Acunetix kann direkt mit WAF-Lösungen arbeiten und ihnen für jede Sicherheitsanfälligkeit relevante Regeln zur Verfügung stellen.
WAFs führen auch bestimmte Arten von Schutzmaßnahmen ein, die mit anderen Tools nicht erreichbar sind. Wenn Sie beispielsweise kein spezialisiertes Hosting mit integriertem DoS-Schutz wie AWS verwenden, kann Ihnen eine WAF dabei helfen, viele DoS / DDoS-Angriffe abzuwehren. Neben der Reduzierung des schädlichen Datenverkehrs können WAFs und ihre Reverse-Proxys auch beim Lastausgleich des Webdatenverkehrs helfen, um die Latenz zu verringern, obwohl dies nicht ihr Hauptzweck ist.
Sicherheitsexperten wissen, dass WAFs und DAST-Tools nur die Spitze des Eisbergs sind. Je mehr Sie die Sicherheit Ihrer Webanwendung verbessern möchten, desto mehr Tools können Sie für diesen Zweck verwenden.
Beispielsweise können DAST mit SAST-Tools zusammenarbeiten (die den Quellcode überprüfen, aber bekanntermaßen mehr Fehlalarme melden) oder durch IAST-Lösungen (wie AcuSensor von Acunetix) ergänzt werden. SCA-Tools können Ihre Open-Source-Komponenten schnell auf bekannte Schwachstellen überprüfen. Sie können sogar Anti-Malware-Lösungen zusammen mit anderen Tools verwenden (dies ist mit Acunetix möglich), um serverseitige Malware zu beseitigen.
DAST, SAST, IAST und SCA können in Ihren DevOps-Automatisierungsumgebungen verwendet werden, um die Sicherheit noch weiter zu optimieren. Diese Tools sind als Sicherheitsdienste, Cloud-Plattformen (SaaS) oder lokale Lösungen verfügbar.
Es gibt noch mehr Tools für Ihre Sicherheitsteams, mit denen Sie Ihre Anwendungsschicht sichern können. Sicherheitslücken müssen häufig manuell von Penetrationstestern analysiert werden. Dies gilt insbesondere dann, wenn Sie kein Tool wie Acunetix haben, das den Nachweis erbringt, dass die Sicherheitslücke nicht false positive ist.
Alles in allem ist die Sicherheit von Webanwendungen ein komplexes Thema, und keine einzige Lösung (selbst die beste WAF) kann sich um alles kümmern. Lassen Sie uns Ihnen stattdessen helfen, zu lernen, wie Sie Ihr Arsenal an Tools von Grund auf aufbauen können, indem wir Ihnen zum Beispiel zeigen, wie Sie Acunetix in WAF-Lösungen integrieren.
