Web applicatie firewalls geven ademruimte
De Web applicatie firewall (WAF) is een opkomende categorie firewall die zich bevindt tussen de webclient en webserver, en berichten van OSI Laag 7 controleert op overtredingen van ingestelde security policies. De WAF wordt gebruikt als een security oplossing die de webserver tegen aanvallen beschermt, aldus de definitie van het Web Application Security Consortium (WASC).
Een Web applicatie firewall kan het verschil betekenen tussen het overhaast patchen van een lek, door de applicatie offline te nemen of het reparen van de kwetsbaarheid wanneer het de eigenaar uitkomt.
"Met een Web applicatie firewall kun je observeren, monitoren en zoeken naar mogelijke aanvallen. Als je geen Web applicatie firewall voor de applicatie hebt zitten, dan weet je niet wat er gebeurt en heb je geen controle" zegt Ivan Ristic van Thinking Stone.
Ristic geeft wel toe dat WAFs geen magische oplossing zijn. "Om te beginnen moeten applicaties veilig zijn, wat vaak erg lastig blijkt. Web applicaties zullen nooit 100% veilig zijn. Je moet over een strategie en meerlaagse verdediging beschikken".
Volgens de Yankee Group zullen web applicatie firewalls binnen een aantal jaren verdwijnen en in "application assurance platforms" worden opgenomen, die WAFs, database security, XML security gateways en application traffic management combineren.
Betwijfel dat WAF veel toe te voegen heeft.
Ah weer zo'n leuke nieuwe term. Maar serieus, ik vind dit
bijna een IDS/IPS met een ander naampje.
Het IS ook gewoon een IDS/IPS met een andere naam.
binnen een aantal jaren verdwijnen en in "application
assurance platforms" worden opgenomen"
Bij de Yankee Group hebben ze wel meer van dat soort bezopen
uitspraken gedaan zonder na te denken wat de verschillen en
nadelen zijn die beheerders tegenhouden om bepaalde
technieken te laten verdwijnen.
Een zeer groot probleem is dat het complexer wordt en
daardoor de beveiliging niet altijd beter of zelfs zwakker.
Pogingen om die complexiteit te verminderen is constant te
zien in complexiteit verhullen door het systeem zogenaamd
slimmer te maken en te laten beslissen of door het domweg
weg te slopen en het meest noodzakelijke niet in verhouding
staat tot wat nodig is.
De kans is groter dat IPS en dus ook 'webapplicatie
firewalls' verdwijnen en teruggevallen wordt op meer
conventionele middelen omdat ook deze al zeer complex zijn
en in een multi-layer beveiligingoplossing andere middelen
gezamelijk ook afdoende kunnen zijn voor de nodige beveiliging.
meer conventionele middelen bedoel je dan ?
Met een toenemende complexiteit en mate van versluiering van aanvallen
is complexiteit van verdediging dan niet onvermijdelijk ?
dan een reverse proxy met wat content scanning. Niets nieuws
onder de zon.. Wordt al jaren gebruikt bij banken e.d.
ja het is vaak een reverse proxy (bv Netcontinuum). Tevens zie je wel
overlap met IPS systemen echter biedt een WAF vele malen meer dan een
IPS. Terwijl een IPS op de netwerklaag meer kan dan een WAF. Tevens is
een WAF nooit signature based (zoals IPS'sen wel vaak werken) maar kijkt
naar gedrag van verkeer. Dit alleen op de applicatie laag voor HTTP
verkeer. Het kijkt op een "positieve" manier naar het gebruik van de
applicatie. Zaken als WAT (web adres translatie) het incrypten van cookies
en voorzien van "tijdstempels" , checkt op applicatie aanvallen als SQL
injection, java script injection, cookie tampering , maskeert credit card
nummers, sofi nummers en andere gevoelige data en ga zo maar door.
Er zijn producten die gedeeltes van deze bescherming bieden echter een
WAF is compleet, redelijk makkelijk te implementeren en biedt beveiliging
voor bekende en onbekende aanvallen alleen op HTTP/HTTPS verkeer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.