Application Security

Application Security

Applications - Raus aus dem Wolkenschloss!

Webshops stehen unter hartem Wettbewerb. Neben attraktiven Artikeln und Preisen heißt das: Wer hat den komfortabelsten Shop mit der schärfsten Optik und ist zugleich sicher. In Zeiten, in der die Nutzung gekaufter Frameworks (SAP, Oracle Suites) Standard ist und Entwickler aufgrund minimaler Entwicklungszeitfenster zunehmend auf Composites und Mashups zurückgreifen, wächst die Komplexität. Umfangreiche Qualitätskontrollen in Form von Code Reviews werden nicht in jedem Releasezyklus mit dem gleichen Aufwand betrieben oder sind gar nur graue Theorie.

Hohe Komplexität und massiver Zeitdruck stehen gegen Qualität und Sicherheit.

Im Falle eines Angriffs drohen neben dem wirtschaftlichen Schaden und dem Imageverlust auch rechtliche Konsequenzen, wenn die Richtlinien des Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) nicht eingehalten werden. Bei Verstößen kann es teuer werden: Je nach Umsatzvolumen werden Strafen verhängt, Einschränkungen ausgesprochen oder sogar die Annahme von Kreditkarten untersagt.

PCI Security Standards Council

Ein hohes, PCI-konformes Sicherheitsniveau für Webapplikationen auch unter schwierigen Entwicklungsbedingungen zu erzielen, das ermöglichen Ihnen Web Application Firewalls, kurz WAF. Klassische Sicherheitslösungen - wie Firewalls, Reverse Proxies, Deep Inspection und IDS/IPS - können Webapplikationen nur sehr rudimentär schützen, da sie den Verkehr auf Transportschichten absichern und allenfalls eine einfache Mustererkennung ermöglichen, aber den Business Logik Layer nicht interpretieren können. Typische Angriffe gegen Webapplikation, wie Form Filed Tampering, SQL Injections, Parameter Manipulationen, Cross Site Request Forgery, Brute Force Login, Cookie Poisoning oder Session Highjacking werden somit nicht erkannt. Eine Analyse der Requests auf HTTP- und Business Logik Ebene findet nicht statt.

Deutlich reduzierte Risiken und Gefahrenpotenziale

Hochentwickelte Web Application Firewalls (WAF) hingegen beherrschen alle Protokoll-Ebenen und filtern bekannte und unbekannte Angriffe gegen transaktionsorientierte Webanwendungen. Das schließt auch neue Angriffsarten gegen die Web 2.0-Technologie, wie Cross-Site Request Forgery oder Malicious AJAX Code Execution ein. Dazu werden eingehende HTTP-/ HTTPS-Requests entgegengenommen, analysiert (Mustererkennung, statistische Methoden) und klassifiziert (legitim, Angriff, verdächtig), bevor sie die Webapplikation erreichen.

Die gängigsten Verfahren der Request Verfication sind:

  • Protokoll-Terminierung, Validierung und Rebuilding
  • Session Tracking & Anomaly Detection
  • SSL-Terminierung und Absicherung der Session- und Cookie-Handlings
  • Input Validation zur Prüfung von Benutzereingaben / Abfangen von Command-Injections
  • Malicious Code Detection / Schadcodeerkennung durch Muster- und Anomalie-Detektion
  • Phishing Detection / Referer Checking zur Unterbindung von unerwünschten Verlinkungen

WAF-Betrieb – Anpassungsorgien bei jeder Applikationsänderung!?

Eine der Kernaufgaben einer WAF ist es zu gewährleisten, dass nur URL-Aufrufe, die zur Anwendung gehören, zugelassen werden. Andersherum gesagt: Ressource-Zugriffe unterhalb der Webserver-Wurzel, z.B. auf DLLs, Dateiversionen oder gar interne Anwendungen müssen abgefangen werden.

Doch woher weiß die WAF, was gut und richtig ist?

Moderne Lösungen können dynamisch zur Laufzeit lernen. Nach dem Aufruf einer erlaubten Start-URL analysiert die WAF alle vom Webserver zurückgelieferten Webseiten und fügt deren URLs der dynamischen Policy hinzu, die sie im Hauptspeicher hält. Das Problem: Nicht gelernte URLs blockiert sie und somit auch alle verlinkten URLs, die noch nicht aufgerufen wurden. URL-Crawler, die alle Links verfolgen, können hier Abhilfe schaffen.

In der Praxis hat sich die Kombination aus statischer Start-Policy und dynamischem Lernen als sehr brauchbar erwiesen. Von Sicherheitslösungen, die rein statisch arbeiten, wie z. B. das quelloffene Tool ModSecurity für den Apache Webserver, ist aufgrund ihrer unzureichenden Angriffsabdeckung und dem immensen Betriebsaufwand eher abzuraten.

Eine weitere zentrale Aufgabe einer WAF ist Input Validation. Weil das größte Angriffspotenzial in Injection-Angriffen (SQL- / Command- Injections, Cross Site Scripting) liegt, müssen Parameterkontrollen (Session IDs, Wertebereiche) exakt ausgeführt werden. Wert und Länge jedes einzelnen Parameters der Webanwendung individuell in der WAF zu konfigurieren, noch dazu, wenn häufige Änderungen in der Anwendung die Regel sind, grenzt an Sisyphos-Arbeit. Gute Lösungen bieten hierfür Blacklists, die sämtliche Arten von Injection-Angriffen adressieren und zeitnah aktualisiert werden.

Neben der Kontrolle der Benutzereingaben muss die WAF aber auch deren Integrität der Read-Only-Parameter prüfen. Das funktioniert am besten dynamisch, indem sich die WAF zur Laufzeit der Session die Werte der von der Applikation erstmals an den User ausgelieferten Parameter merkt.

Application Security

Es braucht dedizierte Application Security Systeme, wenn Code Reviews nicht stattfinden und die Firewall weder Web Applications noch Datenbanken gegen Angriffe wie Form Filed Tampering, SQL Injections, Parameter Manipulationen, Cross Site Request Forgery, Brute Force Login, Cookie Poisoning oder Session Highjacking schützen kann.

Verbindliche Application Security

PCI DSS ist ein proaktiver Datenschutzstandard, der Vorgaben für das Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerk- und Softwarestrukturen und andere Sicherheitsmaßnahmen verbindlich definiert. Dieser Standard ist von allen Händlern oder Dienstanbietern, die Informationen oder Daten zu gängigen Kreditkarten bearbeiten, weitergeben, speichern oder verarbeiten, einzuhalten. Seit Version 1.2 des Standards ist die Durchführung von regelmäßigen Sourcecodereviews gemäß Sektion 6.3.7 sowohl für interne Applications als auch für Web Applications verbindlich geworden.

Die Einhaltung der Anforderungen ist mit beträchtlichem manuellen Aufwand und hohen Personalkosten verbunden. Alternativ kann der Einsatz einer Web Application Firewall, die Web Application Security entsprechend PCI DSS bei deutlich geringeren Kosten gewährleisten, sein. Alle Organisationen, die Kreditkartendaten verarbeiten und / oder speichern, sind angehalten, sich gemäß PCI DSS zertifizieren zu lassen.

Mit SecureSphere von Imperva können betroffene Händler und Dienstanbieter die Vorgaben des PCI DSS erfüllen und sogar übertreffen. Mit dieser Web Application Security kann man einer Zertifizierung gelassen entgegensehen.

Application Security pflegeleicht

Die SecureSphere Web Application Firewall von Imperva schützt Ihre Web-Applikationen und sensitiven Daten - mit dieser praktikablen, hochsicheren Lösung bieten Sie den modernen Herausforderungen im Rahmen transaktionsorientierter Datensicherheit und Compliance erfolgreich die Stirn. Zudem erfordert die Implementierung keinerlei Veränderungen Ihrer bestehenden Infrastruktur (Zero Impact Deployment).

Automatisierten Schutz gegen Web-Attacken bietet Ihnen Impervas Dynamic-Profiling-Technologie, die automatisch anhand des aktuellen Traffics (URLs, Cookies, Parameters, HTTP Methods etc.) ein Schema legitimer Verhaltensweisen generiert, an Applikationsänderungen adaptiert und so den Schutzmechanismus - ohne manuellen Konfigurationsaufwand - stets auf dem aktuellsten Stand hält.

Die Imperva WAF bietet mit ThreatRadar die Möglichkeit, topaktuelle Informationen zu potenziellen Gefahrenquellen in das Regelwerk zu integrieren. Hier stehen z.B. Listen mit anonymen Proxy-Servern, TOR Servern oder IP Geolocation Informationen zur Verfügung, die durch hochspezialisierte Forschungsgruppen gepflegt und automatisch aktualisiert werden. Außerdem arbeitet Imperva im Bereich Fraud Prevention mit mehreren Anbietern zusammen, um betrügerische Besucher der Webseite zu identifizieren, bevor diese Schaden anrichten können. Neu in SecureSphere 10.0 ist das Feature Community Defense, das es SecureSphere Benutzern ermöglicht, anderen Betreibern anonymisierte Informationen über erfolgte Angriffe zur Verfügung zu stellen und solche auch selbst zu nutzen.

"Die SecureSphere Web Application Firewall ist eine praxiserprobte Plattform, die inzwischen mehr als 4.500 Organisationen weltweit schützt und in den letzten fünf Jahren mehr als 20 Auszeichnungen gewonnen hat", führt Shlomo Kramer, President und CEO von Imperva aus. "Mit SecureSphere SE eröffnen wir nun auch Unternehmen mittlerer Größe den Weg zu einer starken Web Application Security."

 

Cloud based Web Application Security

Mit Incapsula bietet Imperva einen Cloud-Service an, der aus zwei Komponenten besteht: Web Application Firewall und DDoS Mitigation Service. Für Kunden, denen eine eigene WAF zu teuer oder zu wartungsintensiv ist, stellt Incapsula die perfekte Lösung dar. Sie schützt die Webseite kostengünstig nicht nur vor (D)DoS und sonstigen Angriffen, sondern optimiert über verteiltes Caching der Webseiteninhalte auch die Performance Ihres Webauftritts - weltweit.