Web Application Firewalls, DDoS und Botnet Schutz: Lessons Learned aus Beschaffungsprojekten

Für den Schutz von eigenen Angeboten, die aus dem Internet erreichbar sind (wie selbst gehostete Webserver oder E-Commerce-Angebote) bieten sich Web Application Firewalls (WAF), auch Web Application Gateways oder Application /API Protection Products (WAAP) genannt, an. Sie sollen vor üblichen Angriffswegen wie Code Injection, Cross Site Scripting, anderen OWASP Sicherheitsrisiken  oder z.B. der Ausnutzung von Schwachstellen in verbreiteten Software-Bibliotheken auf Webservern schützen (z.B. Apache Fehlkonfigurationen). Dazu kommen oft Funktionen zur Verhinderung oder Abmilderung von (Distributed) Denial of Service (DDoS)  Angriffen oder das Abgreifen von sensiblen Daten (z.B. Preisen) über Bots/Crawlern.

Anbietende von WAF und/oder DDoS-Lösungen

Je nach Schwerpunkt (WAF oder DDoS Funktionen) und insbesondere für Kundschaft mit Zentrale in Deutschland bietet sich zur Vorauswahl die Liste der vom BSI qualifizierten DDoS-Mitigation Dienstleister  an. Hier werden anhand von 37 Kritierien 14 Anbietende eingeordnet. Zum Stand der Veröffentlichung (März 2022) lassen sich aus der Untersuchung auch überraschende Ergebnisse ableiten, so z.B., dass der Marktführer Cloudflare nicht alle Rechenzentren gem. ISO 27001 zertifiziert hatte.

Daneben wird aber deutlich, dass grundlegende technische Merkmale wie Filtermöglichkeiten nach Quell-/Ziel-IP-Adressen, benutzerdefinierten Geo-Lokationen und bekannten Angriffsmustern (über Anbindung von Threat Intelligence Feeds) oder Drosselung von Übertragungsraten nicht mehr differenzierend sind. Klar ist auch, dass nicht alle Kriterien (wie Zugang zu Angeboten für Nichtkunden) für alle Unternehmen relevant sind. Zudem kann in einer allgemeinen Übersicht nicht auf das Preis-/Leistungsverhältnis der tatsächlichen Angebote eingegangen werden.

Einige der WAF- und DDoS-Anbietenden bieten Content/Application Delivery Network (CDN/ADN) Dienste, um insbesondere Übertragungszeiten zu reduzieren und die Performance von Webseiten aus Anwendersicht damit zu optimieren. Je nach Situation der Kundschaft ist es also sinnvoll, die Security-Funktionen damit zu kombinieren oder separat einzukaufen.

Typische Anforderungen in Ausschreibungen und Angebotsvergleichen

  • Umsetzung der Lösung: Als SaaS, on prem oder eigene Hardware Appliance? Mit oder ohne Managed Service für Wartung und laufenden Betrieb?
  • Wie umfangreich ist der Schutz gegen die OWASP / Automated Threats to Web Applications Angriffe (am Besten gegen die aktuellen Top Ten Listen abfragen)?
  • Gegen welche Art von Angriffen können APIs mit der Lösung geschützt werden (Auch hier: Alle OWASP API Top Ten?), und wie erfolgt die automatisierte Erkennung von APIs und Erzeugung von Importdefinitionen? Werden nur REST APIs geschützt, oder auch z.B. SOAP und WebSocket?
  • Wie erfolgt der Aufbruch von verschlüsseltem (TLS) Verkehr? Wie werden die (temporär) unverschlüsselten Daten geschützt, und erfolgt dies DSGVO-konform?
  • Wie schnell werden „virtuelle Patches“ nach Bekanntwerden kritischer Schwachstellen automatisiert in das Regelwerk aufgenommen (z.B. anhand Beispiel Log4j)?
  • Können Credential Stuffing / Account Takeover Angriffe erkannt werden (z.B. über Abgleich mit bekannten kompromittierten Passwörtern)?
  • Wie benutzerfreundlich können kundenindividuelle Regeln über die GUI /CLI festgelegt werden? Sind zudem individualisierte Block-/Fehlerseiten möglich, die Nutzern angezeigt werden, auch mit Abfrage von CAPTCHA oder ähnlichen Botabwehrmaßnahmen bei uneindeutigen Filterergebnissen?
  • Gibt es eine Logging-/Debugging-Modus, in dem die Auswirkungen von geänderten Regeln zunächst getestet werden können?
  • Bieten Herstellende einen Testzeitraum / PoC an, in der die Filterung („False Positives/Negatives“) geprüft werden kann?
  • Welche Integrationsmöglichkeiten mit bestehenden SIEM-Systemen, AD/LDAP, anderen IAM-Lösungen oder RADIUS?
  • Werden Zusatzfunktionen wie Data Leakage Protection (DLP) benötigt, die über DNS- und Datenfilterung abgebildet werden können? Müssen dazu eigene Regelsätze angelegt werden, erfolgt dies vorkonfiguriert, oder über ein Baselining (Trainingsperiode)? Einige Hersteller bieten als Zusatzfunktion ein CIEM (Cloud Infrastructure Entitlement Management) an, mit dem generell Zugriffe auf Cloud Lösungen nutzerspezifisch eingeschränkt werden können.
  • Wie erfolgt der Schutz von Containern – können WAF-Instanzen in Containermanagern oder über ein Service Mesh genutzt werden?
  • Bietet die Lösung eine PKI, mit der Client Zertifikate erzeugt werden können? Dies ist insbesondere für mobile Anwendungen und IoT Geräte interessant
  • Preis-/Leistung: Was sind realistische Kosten über einen 3-5 Jahreszeitraum? Die Lizenzkosten sind oft abhängig von der Anzahl der (Sub-)domänen, Zertifikate, Webseiten-Aufrufe und dem Datenvolumen („clean“ bzw. nach „scrubbing“). Hinzu kommen die Einrichtung und ggf. Premiumsupport. Allerdings sind bei einigen Anbietenden Pakete mit DDoS-Schutz ohne Mehrkosten erhältlich
  • Engagement des Anbietenden auch für kleinere Kundschaft: Ein guter Eindruck lässt sich meistens schon in der Anbahnungsphase des Projekts über Rückmeldungen auf Fragen und den Fokus in Demoterminen gewinnen.

Fazit

Wie bei allen Security-Projekten lohnt es sich, zu Beginn die Anforderungen möglichst klar zu umreißen, um Muss-Kriterien von unnötigen Optionen oder Umfängen zu trennen. Viele der im Marketing als einzigartig angepriesenen Features sind in Wirklichkeit schon Stand der Technik. Die hohe Anzahl an guten Lösungen mit jeweils zahlreichen Kundenreferenzen zeigt, dass die Kundschaft eine breite Auswahl an Anbietenden anfragen und über einen strukturierten Vergleich ein optimales Preis-/Leistungsverhältnis erzielen können. Auf Cybersecurity spezialisierte Einkaufsberatungen können bei allen diesen Schritten unterstützen.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.