Blog durchsuchen nach

WAF und RASP: Die beste Verfahrensweise für mehrschichtige Verteidigung
,

WAF und RASP: Die beste Verfahrensweise für mehrschichtige Verteidigung

Warum benötigen Sie eine RASP-Lösung, wenn die Verteidigungsebene von WAF so leistungsfähig ist?

Die einfache Antwort ist, dass kein einzelnes Sicherheitsprodukt Schutz für alle Bedrohungsvektoren bieten kann. Eine umfassende IT-Sicherheitsstrategie umfasst risikogerechte Kontrollen, die dort eingeführt werden, wo sie maximale Wirksamkeit bieten können.

Die Imperva WAF (Web Application Firewall) ist ein wesentlicher Bestandteil einer mehrstufigen tiefgreifenden Verteidigungsstrategie zum Schutz von Anwendungen. Sie ermöglicht, dass legitimer Datenverkehr zu der dahinter liegenden Anwendung fließt, hält aber schlechten Datenverkehr zurück und verhindert kritische Bedrohungen wie nicht autorisierte Datenexfiltration, die auf die Arten von Schwachstellen abzielt, die in der OWASP Top 101-Liste zu finden sind.

In der Zwischenzeit mag Imperva RASP (Runtime Applications Self-Protection) ähnlich wie eine WAF klingen, da es auch dazu ausgelegt ist, Exploit-Nutzlasten zu erkennen und zu blockieren, die auf Schwachstellen wie SQL Injection und Cross-Site Scripting abzielen.

Vor allem bei den jüngsten Verbesserungen des Imperva RASP, einschließlich sprachunabhängigem Schutz mit Cloud-nativen Erkenntnissen, lohnt es sich, einen genaueren Blick auf die kombinierten Vorteile der Verwendung von WAF und RASP zur Unterstützung Ihrer kritischen Asset- und Datenschutz-Sicherheitsarchitektur zu werfen.

Firewall-Webanwendung

Die WAF befindet sich normalerweise vor Anwendungen und überprüft eingehenden HTTP-Netzwerkverkehr auf bekannte Angriffscodes und ungewöhnliche Nutzungsmuster. Wenn ein verdächtiges Codestück oder ein verdächtiges Nutzungsmuster erkannt wird, kann die Anfrage gemeldet oder gemeldet und blockiert werden. Es ermöglicht das Blockieren von IP-Adressen und bietet die Anpassung von Regelsätzen, zusätzlich zur Bereitstellung von Echtzeitwarnungen und -berichten.

Die Imperva WAF trennt bekannten, schlechten Datenverkehr von gutem Datenverkehr und stellt sicher, dass Ihre Anwendung keine Informationen oder Anfragen verarbeitet, die sich nicht auf die beabsichtigte Funktionalität der Anwendung beziehen. Ein weiterer Vorteil der Lösung ist die Senkung der Kosten für die Anwendungsinfrastruktur.

Der Nachteil der meisten WAFs ist, dass sie abgestimmt werden müssen, um Exploits zu blockieren. Es muss ein reaktiver Ansatz zur Identifizierung von Exploit-Nutzlasten vorhanden sein, bevor Schutzmaßnahmen angewendet werden. Dies kann es ermöglichen, falsch negative Ergebnisse oder unerwünschte falsch positive Ergebnisse, insbesondere in der schnelllebigen Anwendungsentwicklung mit agilen Entwicklungspraktiken, einzuführen.

Runtime Application Self-Protection (RASP)

Der RASP-Ansatz besteht darin, eine enge Kopplung mit dem Anwendungscode herzustellen, indem auf Serverebene selbst ein Anschluss in die Anwendung stattfindet.

Imperva RASP verwendet eine kontextbezogene Erkennungstechnik, die als Sprachtheoretische Sicherheit (LangSec) bekannt ist, um Bedrohungen zu erkennen und sicherzustellen, dass eine bestimmte Nutzlast den Anwendungscode nicht ausnutzen kann. Die RASP-Technologie überprüft die vollständige (und häufig transformierte oder verschleierte) Nutzlast im Kontext dessen, wie die Anwendung sie verwenden wird, und zwar nur dann, wenn die Anwendung versucht, die Daten zu verwenden.

Das Ergebnis sind wenige falsch positive Ergebnisse und eine hohe Visibilität in Schwachstellen, darunter Schwächen, die der Organisation bisher unbekannt waren. RASP erfordert keine kontinuierliche Wartung oder signifikante Abstimmung. Es bietet standortgerechte Sicherheit, die die WAF und die anderen Elemente einer Anwendungssicherheits-Lösungssuite ergänzt.

Während die Richtlinien des SDLC vorschreiben können, dass die mit Sicherheitstesttools (z. B. DAST) gefundenen Sicherheitslücken behoben werden müssen, bevor die Anwendung in die Produktion geht, kommt es häufig vor, dass die Anwendung aufgrund von geschäftlichem Druck mit bekannten Problemen freigegeben wird. Anwendungscode ist selten fehlerfrei. Und da Entwickler in der Regel über keine solide Sicherheitsschulung verfügen, spricht vieles für eine Lösung, die einen Standardschutz vor Exploits auf Anwendungsebene bietet.

Die Vorteile des RASP-Ansatzes sind zahlreich, da er anwendungsbewussten und kontextsensitiven Schutz bieten kann. Auf dieser Ebene wird er sich in den Softwareentwicklungs-Lebenszyklus (SDLC) integrieren und in der Lage sein, Zero-Day-Angriffe zu verhindern und Legacy-Anwendungen zu sichern.

Der Fall für WAF und RASP

Angriffserkennung

Sicherheit vor der Anwendung, z. B. bei einer WAF, ist ein ausgezeichneter Schutz vor bekannten Angriffen, wobei sich WAF-Signaturen hervorragend für die Adressierung bisher bekannter Exploit-Nutzlasten eignen. Häufige Änderungen des Anwendungscodes und Bibliotheken von Drittanbietern bedeuten jedoch, dass sich die Umgebung ständig ändert und der Edge-Schutz reaktiv sein muss oder das Risiko falsc- negativer Ergebnisse oder unerwünschter falsch-positiver Ergebnisse mit sich bringt.

In diesem Fall kommt RASP LangSec ins Spiel, wenn bisher unbekannte Exploit-Nutzlasten adressiert werden. Die Imperva RASP-Lösung ist signaturfrei und bewertet jede Nutzlast auf die gleiche Weise wie die Anwendung und ihre unterstützenden Komponenten, um Exploit-Versuche zu identifizieren und standardmäßig Anwendungssicherheit zu bieten. Da es sich um eine Lösung am richtigen Ort handelt, minimiert sie falsch-positive Ergebnisse.

Für eine ordnungsgemäße Sicherheitsarchitektur müssen verschiedene Kontrollen an verschiedenen Punkten in einer Verteidigungsstrategie implementiert werden. Wenn der Angriff durch die Kontrolle auf Ebene 1 gelangt, wäre die Verwendung der gleichen Art von Kontrolle auf Ebene 2 sinnlos.

Blockieren von mehr Angriffsverkehr

Da die traditionellen Netzwerkgrenzen beim Übergang von Organisationen zu Cloud-Infrastrukturen im Wesentlichen gelöscht wurden, wird es zunehmend schwieriger, Freund von Feind anhand des Ursprungs der Verbindung zu bestimmen. In den meisten WAF-Bereitstellungen konzentriert sich die Inspektion auf den „Nord-Süd“-Verkehr oder den Außen-Innen-Verkehr. Dagegen ist RASP oft auf „Ost-West“- oder Innen-Innen-Verkehr ausgerichtet.

WAFs konzentrieren sich in erster Linie darauf, nicht vertrauenswürdige Außenstehende fernzuhalten. RASP kann verhindern, dass vertrauenswürdige Insider oder autonome Microservices Schaden anrichten.

Sicherheit zu einem Teil von DevOps machen

In vielen Organisationen werden WAFs von einem dedizierten, spezialisierten Team verwaltet – entweder extern (z. B. Imperva oder ein Managed Security Serviceanbieter) oder intern (z. B. ein WAF-Administrationsteam für Sicherheitsoperationen).

Allerdings konsolidiert die Branche die Operationen mit der Entwicklung rapide, während sie sich weiter zur „Cloud“ entwickelt. DevOps bedeutet, dass die Pipeline für kontinuierliche Integration / kontinuierliche Bereitstellung der Standardmechanismus zum Einrichten und Durchsetzen von Sicherheitskontrollen ist. RASP ist nur ein Teil der Anwendung und passt auf natürliche Weise in dieses Modell.

Die tiefgreifenden Verteidigungsstrategien müssen dynamisch sein, da sich sowohl die IT- als auch die gegnerische Landschaft ständig weiterentwickeln. Sicherheit muss Teil der DevOps-Unterhaltung seinv… Außerdem kann es nie genug ausgebildetes Sicherheitspersonal geben. Warum nicht Best Practices, Technologien und Personal für die Entwicklung nutzen?

Bei der Bewertung der Vorzüge von RASP vs. WAF und der Bestimmung, welche der beiden besser ist, stellt sich die Realität heraus, dass RASP und WAF sich ergänzen. Die WAF schützt bekannten, fehlerhaften Datenverkehr und RASP bietet eine standortgerechte Durchsetzung der Sicherheit im Kontext der Anwendung.

Die beiden unterschiedlichen Sicherheitsansätze bieten eine tiefgreifende Verteidigungslösung als Teil einer soliden Sicherheitsstrategie, um heutzutage die vielen verschiedenen Formen von Angriffen zu bekämpfen.

Ein mehrschichtiges Vorgehen, z. B. die Anwendungssicherheit von Imperva bietet Schutz und Multisensor-Analysen über Ihre Firewall-Webanwendung (WAF), DDoS-Schutz, Ihr fortschrittliches Bot-Management und RASP für einen vollständigen Lösungsstapel zum Sichern und Überwachen des Anwendungszugriffs.

In unserer Pressemitteilung erfahren Sie mehr über Imperva RASP, seinen kürzlich erweiterten Support und die Fähigkeit, native Cloud-Workloads zu schütze.

Einige Hyperlinks sind nur in englischer Sprache verfügbar.