{"id":4525,"date":"2023-05-24T22:40:00","date_gmt":"2023-05-24T22:40:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=4525"},"modified":"2023-09-13T08:52:50","modified_gmt":"2023-09-13T08:52:50","slug":"web-application-firewalls-ddos-und-botnet-schutz-lessons-learned-aus-beschaffungsprojekten","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/web-application-firewalls-ddos-und-botnet-schutz-lessons-learned-aus-beschaffungsprojekten\/","title":{"rendered":"Web Application Firewalls, DDoS und Botnet Schutz: Lessons Learned aus Beschaffungsprojekten"},"content":{"rendered":"\n

F\u00fcr den Schutz von eigenen Angeboten, die aus dem Internet erreichbar sind (wie selbst gehostete Webserver oder E-Commerce-Angebote) bieten sich Web Application Firewalls (WAF), auch Web Application Gateways oder Application \/API Protection Products (WAAP) genannt, an. Sie sollen vor \u00fcblichen Angriffswegen wie Code Injection, Cross Site Scripting, anderen OWASP Sicherheitsrisiken <\/a> oder z.B. der Ausnutzung von Schwachstellen in verbreiteten Software-Bibliotheken auf Webservern sch\u00fctzen (z.B. Apache Fehlkonfigurationen). Dazu kommen oft Funktionen zur Verhinderung oder Abmilderung von (Distributed) Denial of Service (DDoS) <\/a> Angriffen oder das Abgreifen von sensiblen Daten (z.B. Preisen) \u00fcber Bots\/Crawlern.<\/p>\n\n\n\n

Anbietende von WAF und\/oder DDoS-L\u00f6sungen<\/h2>\n\n\n\n

Je nach Schwerpunkt (WAF oder DDoS Funktionen) und insbesondere f\u00fcr Kundschaft mit Zentrale in Deutschland bietet sich zur Vorauswahl die Liste der vom BSI qualifizierten DDoS-Mitigation Dienstleister <\/a> an. Hier werden anhand von 37 Kritierien 14 Anbietende eingeordnet. Zum Stand der Ver\u00f6ffentlichung (M\u00e4rz 2022) lassen sich aus der Untersuchung auch \u00fcberraschende Ergebnisse ableiten, so z.B., dass der Marktf\u00fchrer Cloudflare nicht alle Rechenzentren gem. ISO 27001 zertifiziert hatte.<\/p>\n\n\n\n

Daneben wird aber deutlich, dass grundlegende technische Merkmale wie Filterm\u00f6glichkeiten nach Quell-\/Ziel-IP-Adressen, benutzerdefinierten Geo-Lokationen und bekannten Angriffsmustern (\u00fcber Anbindung von Threat Intelligence Feeds) oder Drosselung von \u00dcbertragungsraten nicht mehr differenzierend sind. Klar ist auch, dass nicht alle Kriterien (wie Zugang zu Angeboten f\u00fcr Nichtkunden) f\u00fcr alle Unternehmen relevant sind. Zudem kann in einer allgemeinen \u00dcbersicht nicht auf das Preis-\/Leistungsverh\u00e4ltnis der tats\u00e4chlichen Angebote eingegangen werden.<\/p>\n\n\n\n

Einige der WAF- und DDoS-Anbietenden bieten Content\/Application Delivery Network (CDN\/ADN) Dienste, um insbesondere \u00dcbertragungszeiten zu reduzieren und die Performance von Webseiten aus Anwendersicht damit zu optimieren. Je nach Situation der Kundschaft ist es also sinnvoll, die Security-Funktionen damit zu kombinieren oder separat einzukaufen.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Typische Anforderungen in Ausschreibungen und Angebotsvergleichen<\/h2>\n\n\n\n
    \n
  • Umsetzung der L\u00f6sung: Als SaaS, on prem oder eigene Hardware Appliance? Mit oder ohne Managed Service f\u00fcr Wartung und laufenden Betrieb?<\/li>\n\n\n\n
  • Wie umfangreich ist der Schutz gegen die OWASP \/ Automated Threats to Web Applications Angriffe (am Besten gegen die aktuellen Top Ten Listen abfragen)?<\/li>\n\n\n\n
  • Gegen welche Art von Angriffen k\u00f6nnen APIs mit der L\u00f6sung gesch\u00fctzt werden (Auch hier: Alle OWASP API Top Ten?), und wie erfolgt die automatisierte Erkennung von APIs und Erzeugung von Importdefinitionen? Werden nur REST APIs gesch\u00fctzt, oder auch z.B. SOAP und WebSocket?<\/li>\n\n\n\n
  • Wie erfolgt der Aufbruch von verschl\u00fcsseltem (TLS) Verkehr? Wie werden die (tempor\u00e4r) unverschl\u00fcsselten Daten gesch\u00fctzt, und erfolgt dies DSGVO-konform?<\/li>\n\n\n\n
  • Wie schnell werden \u201evirtuelle Patches\u201c nach Bekanntwerden kritischer Schwachstellen automatisiert in das Regelwerk aufgenommen (z.B. anhand Beispiel Log4j)?<\/li>\n\n\n\n
  • K\u00f6nnen Credential Stuffing \/ Account Takeover Angriffe erkannt werden (z.B. \u00fcber Abgleich mit bekannten kompromittierten Passw\u00f6rtern)?<\/li>\n\n\n\n
  • Wie benutzerfreundlich k\u00f6nnen kundenindividuelle Regeln \u00fcber die GUI \/CLI festgelegt werden? Sind zudem individualisierte Block-\/Fehlerseiten m\u00f6glich, die Nutzern angezeigt werden, auch mit Abfrage von CAPTCHA oder \u00e4hnlichen Botabwehrma\u00dfnahmen bei uneindeutigen Filterergebnissen?<\/li>\n\n\n\n
  • Gibt es eine Logging-\/Debugging-Modus, in dem die Auswirkungen von ge\u00e4nderten Regeln zun\u00e4chst getestet werden k\u00f6nnen?<\/li>\n\n\n\n
  • Bieten Herstellende einen Testzeitraum \/ PoC an, in der die Filterung (\u201eFalse Positives\/Negatives\u201c) gepr\u00fcft werden kann?<\/li>\n\n\n\n
  • Welche Integrationsm\u00f6glichkeiten mit bestehenden SIEM-Systemen, AD\/LDAP, anderen IAM-L\u00f6sungen oder RADIUS?<\/li>\n\n\n\n
  • Werden Zusatzfunktionen wie Data Leakage Protection (DLP) ben\u00f6tigt, die \u00fcber DNS- und Datenfilterung abgebildet werden k\u00f6nnen? M\u00fcssen dazu eigene Regels\u00e4tze angelegt werden, erfolgt dies vorkonfiguriert, oder \u00fcber ein Baselining (Trainingsperiode)? Einige Hersteller bieten als Zusatzfunktion ein CIEM (Cloud Infrastructure Entitlement Management) an, mit dem generell Zugriffe auf Cloud L\u00f6sungen nutzerspezifisch eingeschr\u00e4nkt werden k\u00f6nnen.<\/li>\n\n\n\n
  • Wie erfolgt der Schutz von Containern \u2013 k\u00f6nnen WAF-Instanzen in Containermanagern oder \u00fcber ein Service Mesh genutzt werden?<\/li>\n\n\n\n
  • Bietet die L\u00f6sung eine PKI, mit der Client Zertifikate erzeugt werden k\u00f6nnen? Dies ist insbesondere f\u00fcr mobile Anwendungen und IoT Ger\u00e4te interessant<\/li>\n\n\n\n
  • Preis-\/Leistung: Was sind realistische Kosten \u00fcber einen 3-5 Jahreszeitraum? Die Lizenzkosten sind oft abh\u00e4ngig von der Anzahl der (Sub-)dom\u00e4nen, Zertifikate, Webseiten-Aufrufe und dem Datenvolumen (\u201eclean\u201c bzw. nach \u201escrubbing\u201c). Hinzu kommen die Einrichtung und ggf. Premiumsupport. Allerdings sind bei einigen Anbietenden Pakete mit DDoS-Schutz ohne Mehrkosten erh\u00e4ltlich<\/li>\n\n\n\n
  • Engagement des Anbietenden auch f\u00fcr kleinere Kundschaft: Ein guter Eindruck l\u00e4sst sich meistens schon in der Anbahnungsphase des Projekts \u00fcber R\u00fcckmeldungen auf Fragen und den Fokus in Demoterminen gewinnen.<\/li>\n<\/ul>\n\n\n\n

    Fazit<\/h2>\n\n\n\n

    Wie bei allen Security-Projekten lohnt es sich, zu Beginn die Anforderungen m\u00f6glichst klar zu umrei\u00dfen, um Muss-Kriterien von unn\u00f6tigen Optionen oder Umf\u00e4ngen zu trennen. Viele der im Marketing als einzigartig angepriesenen Features sind in Wirklichkeit schon Stand der Technik. Die hohe Anzahl an guten L\u00f6sungen mit jeweils zahlreichen Kundenreferenzen zeigt, dass die Kundschaft eine breite Auswahl an Anbietenden anfragen und \u00fcber einen strukturierten Vergleich ein optimales Preis-\/Leistungsverh\u00e4ltnis erzielen k\u00f6nnen. Auf Cybersecurity spezialisierte Einkaufsberatungen k\u00f6nnen bei allen diesen Schritten unterst\u00fctzen.<\/p>\n\n\n\n

    \u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.

    Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"

    F\u00fcr den Schutz von eigenen Angeboten, die aus dem Internet erreichbar sind (wie selbst gehostete […]<\/p>\n","protected":false},"author":24,"featured_media":4526,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[],"class_list":["post-4525","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-article-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=4525"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4525\/revisions"}],"predecessor-version":[{"id":4530,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4525\/revisions\/4530"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/4526"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=4525"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=4525"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=4525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}