Zum Inhalt springen

Wir unterstützen Sie, wenn Sie beabsichtigen, sich eine Web Application Firewall (WAF) anzuschaffen oder diese bereits besitzen.

Anschaffung einer WAF

Der Markt hält eine Vielzahl an Produkten bereit. Aus unserer langjährigen Praxis wissen wir, wo die Einsatzbereiche sowie Stärken und Schwächen des jeweiligen Systems liegen.

Wir können Ihnen dabei helfen,

  • aufgrund Ihrer individuellen Anforderungen die richtige Vorauswahl zu treffen
  • die in Frage kommenden Systeme zu evaluieren
  • die Einführung und den Einsatz zu planen
  • den Lösungsansatz WAF optimal mit anderen Ansätzen zur Web Application Security zu verbinden bzw. gegen diese abzugrenzen

Einsatz einer WAF

Immer wieder stellen wir fest, dass eine vorhandene WAF weit unter ihrer Leistungsfähigkeit betrieben wird. Der Grund dafür ist leicht ausfindig zu machen: aus Sorge davor, dass eine zu streng gefasste Regel die Verfügbarkeit einer Webanwendung gefährdet (oder nach entsprechend schmerzhaften Erfahrungen), werden die Filter auf ein Minimum gestutzt. Das geht bisweilen soweit, dass das Vorhandensein der WAF ein Gefühl von Sicherheit vermittelt, wo de facto kaum noch Sicherheit gegeben ist.

Wir unterstützen Sie in allen Belangen des optimalen Einsatzes Ihrer WAF:

  • Erarbeitung einer Architektur zur flexiblen Einbindung der WAF in die System- und Anwendungsinfrastruktur
  • Konzipierung eines Vorgehens zum Rulesupdate bei neuen oder geänderten Webanwendungen
  • Erstellung von Regeln
  • Erstellung von Programmierrichtlinien für die Webentwickler, damit diese die Anwendungen so bauen können, dass die Schützbarkeit durch die WAF voll zum Tragen kommen kann (hier kommt unsere Expertise als Softwarehaus besonders zum Tragen)

Die WAF als Sicherheitsservice

Eine Web Application Firewall kann wesentlich mehr als nur die Zugriffe auf die Webanwendung zu überwachen. Wir zeigen Ihnen, wie Sie mit einem Minimum an Aufwand eine WAF als unternehmensweiten Sicherheitsservice etablieren, an den neue Webanwendungen Sicherheitsfunktionen delegieren können oder mit dessen Hilfe bestehende Webanwendungen nachträglich und ohne Eingriff mit fundamentalen Sicherheitseigenschaften ausgestattet werden können.

Sicherheitsservices

Sicherheitsservices

Als Beispiele für solche Sicherheitsservices seien genannt:

  • URL-Verschlüsselung: Eine einfache Maßnahme, die die meisten Angriffe auf die SessionID und das Benutzerkonto wirksam verhindert.
  • Data-Harvesting Schutz: Verhindert, dass mit Brute-Force-Techniken systematisch der gesamte Datenbestand ausgelesen wird, ohne dass legitime Benutzer ausgesperrt werden
  • Dialogflusskontrolle: Erzwingt, dass die von der Anwendung vorgegebenen Dialogabläufe eingehalten werden und verhindert so eine Reihe von Angriffen, bei denen der Angreifer Direktaufrufe von URLs ausführt.
  • Denial-of-Service-Schutz: Verhindert, dass eine Webanwendung durch massenhafte Ausführung lastintensiver Operationen in die Knie gezwungen wird
  • Brute-Force-Schutz: Verhindert Angriffe, mit denen durch millionenfaches Durchführen von Zugriffen Informationen 'erraten' werden, etwa Passwort-Cracking oder Ermittlung geschützter Ressourcen.