Was ist eine Web-Anwendungsfirewall (WAF)?

Eine Web-Anwendungsfirewall (WAF) ist eine Sicherheitseinrichtung, die Unternehmen auf der Anwendungsebene schützen soll, indem sie HTTP- (Hypertext Transfer Protocol) und HTTPS-Verkehr (Hypertext Transfer Protocol Secure) zwischen der Web-Anwendung und dem Internet filtert, überwacht und analysiert.

Eine WAF fungiert als Reverse Proxy, der die Anwendung gegen schädliche Anfragen abschirmt, bevor sie den Benutzer oder die Web-Anwendung erreichen. Eine WAF gehört zu einer umfassenden Cybersicherheitsstrategie und schützt das Unternehmen vor verschiedenen Angriffen auf die Anwendungsschicht wie XSS- (Cross Site Scripting), SQL-Injektions-, Zero Day- und DoS-/DDoS-Angriffen (Denial of Service/Distributed Denial of Service).

2024-gtr-exec-summary-cover-de

CrowdStrike Global Threat Report 2024: Kurzfassung

Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.

Jetzt herunterladen

Web-Anwendungsfirewall und Netzwerk-Firewall im Vergleich

Eine Web-Anwendungsfirewall unterscheidet sich von einer Netzwerk-Firewall in der Art des bereitgestellten Schutzes und der Anwendung dieser Sicherheitsmaßnahmen. Mit anderen Worten: Eine WAF schützt das Unternehmen auf der Anwendungsschicht, indem sie die gesamte HTTP/HTTPS-Kommunikation analysiert, während die Netzwerk-Firewall als Schranke fungiert, die den unbefugten Zugriff auf das Netzwerks als Ganzes verhindert.

Auf technischer Ebene unterscheiden sich die WAF und die klassische Firewall hauptsächlich darin, wo die operative Sicherheitsebene gemäß Definition des OSI-Modells (Open Systems Interconnection) angewendet wird. WAFs schützen vor Angriffen auf Schicht 7 – der Anwendungsschicht – des OSI-Modells. Netzwerk-Firewalls wirken dagegen auf Schicht 3 und 4 des OSI-Modells und decken den Datentransfer und Netzwerkverkehr ab.

Wie funktioniert eine Web-Anwendungsfirewall?

Eine WAF funktioniert nach einer Gruppe von Regeln oder Richtlinien, die der Netzwerkadministrator definiert. Jede WAF-Richtlinie oder -Regel soll eine Bedrohung oder bekannte anwendungsbezogene Schwachstelle behandeln. Zusammen dienen die Richtlinien zur Erkennung und Isolierung von schädlichem Datenverkehr, bevor dieser einen Benutzer oder eine Anwendung erreicht.

Es gibt drei Hauptarten von Web-Anwendungsfirewalls:

  1. Blockierlisten-WAF: Eine Blockierlisten-WAF wird auch als negatives Sicherheitsmodell bezeichnet und schützt vor bekannten Angriffen, indem sie bestimmtem Datenverkehr den Zugriff verweigert.
  2. Zulassungslisten-WAF: Eine Zulassungslisten-WAF wird auch als positives Sicherheitsmodell bezeichnet und erlaubt nur Datenverkehr, der zuvor in einer Liste freigegeben wurde.
  3. Hybride WAF: Eine hybride WAF wendet Elemente aus dem Blockierlisten- und Zulassungslistenmodell an.

Wozu benötigen Unternehmen eine Web-Anwendungsfirewall?

Aufgrund der Migration in die Cloud und der zunehmenden Nutzung webbasierter Software oder SaaS-Anwendungen sehen sich viele Unternehmen mit höheren anwendungsbezogenen Sicherheitsrisiken konfrontiert. Darüber hinaus haben der Trend zum Homeoffice, der sich durch COVID-19 stark beschleunigte, die explosionsartige Zunahme bei der Zahl der vernetzten Geräte sowie die Implementierung neuer BYOD-Richtlinien (Bring-Youri-Own-Device) neue digitale Bedrohungen für die Anwendungsschicht entstehen lassen. Die Integration einer WAF in die Cybersicherheitsstrategie ist eine Möglichkeit, mit der Unternehmen Angriffe auf Web-Anwendungen und APIs (Applikation Programming Interfaces) abwehren können.

WAFs schützen Unternehmen zwar nicht vor allen digitalen Bedrohungen, behandeln aber die anwendungsbezogenen Bedrohungen, zum Beispiel:

  • XSS (Cross Site Scripting): Ein Code-Injektionsangriff, bei dem der Akteur schädlichen Code in eine legitime Website injiziert. Der Code startet im Webbrowser des Benutzers anschließend ein infiziertes Skript, mit dem der Angreifer vertrauliche Daten stehlen oder die Identität des Benutzers annehmen kann.
  • DoS und DDoS: Ein DoS- oder DDoS-Angriff ist ein böswilliger, gezielter Angriff, bei dem ein Netzwerk mit gefälschten Anfragen überhäuft wird, um den Geschäftsbetrieb lahmzulegen.
  • SQL-Injektion: Ein SQL-Injektionsangriff ähnelt XSS, weil Angreifer auch hier eine bekannte Schwachstelle nutzen, um schädliche SQL-Anweisungen in eine Anwendung zu injizieren. Dadurch wiederum kann der Hacker Informationen extrahieren, ändern oder löschen.
  • Zero-Day-Angriffe: Ein Zero-Day-Angriff findet statt, wenn ein Hacker unbekannte Sicherheitsschwachstellen oder Software-Mängel ausnutzt, noch bevor der Software-Entwickler einen Patch veröffentlichen konnte.

Bereitstellungsoptionen für Web-Anwendungsfirewalls

Es gibt drei Möglichkeiten, um eine WAF zu implementieren:

  1. Netzwerkbasierte WAF: Lokal im Netzwerk installierte Hardware-Lösung mit geringer Latenz. Diese Option ist zwar effektiv, erfordert aber signifikanten Speicher und bringt in der Regel hohe Wartungskosten mit sich. Damit ist sie eine der teureren Bereitstellungsoptionen.
  2. Hostbasierte WAF: Anpassbare Lösung, die in die Anwendungssoftware integriert wird. Diese Option ist nicht so teuer wie eine netzwerkbasierte WAF, oft jedoch komplexer in der Bereitstellung und zudem deutlich höher im Ressourcenverbrauch.
  3. Cloudbasierte WAF: Günstigste Bereitstellungsoption, die von Cloud-Anbietern wie Amazon Web Services (AWS) als sofort einsatzbereite Lösung angeboten wird. In diesem Modell ist der Cloud-Anbieter für die Implementierung und Aktualisierung verantwortlich. Dies reduziert zwar die Komplexität für das Unternehmen und senkt die Arbeitslast für das IT-Team, allerdings gibt das Unternehmen damit auch ein Stück Kontrolle an Dritte ab. In der Folge erhält das Unternehmen unter Umständen nicht immer alle Informationen über die von der WAF erkannten Bedrohungen. Zudem kann es Einschränkungen bei der Integration der Lösung in die allgemeine Cybersicherheitsstrategie des Unternehmens geben.

CrowdStrike und AWS Network Firewall-Integration

Ende 2020 hat CrowdStrike eine neue Integration mit AWS Network Firewall für Kunden mit CrowdStrike® Falcon Intelligence™- und Falcon Prevent™-Abonnements bekanntgegeben. Im Rahmen dieser Integration können Kunden Funktionen der CrowdStrike Falcon®-Plattform nutzen, indem sie die Bedrohungsanalyse und Bereitstellungsautomatisierung erweitern, um die Reaktion auf Zwischenfälle (IR) zu optimieren und die Bedienung zu vereinfachen. Dazu gehört das Hinzufügen von Domänen-Kompromittierungsindikatoren (IOCs) zur AWS Network Firewall für die Reaktion auf Zwischenfälle und proaktive Bedrohungssuche.

Web-Anwendungsfirewall und Firewall der nächsten Generation im Vergleich

Eine WAF schützt nur vor Web-Anwendungsangriffen. Sie ist zwar ein wichtiger Teil der Cybersicherheitsstrategie eines Unternehmens, aber auf keinen Fall eine umfassende Lösung, und muss daher mit anderen Sicherheitsmaßnahmen ergänzt werden.

Eine Firewall der nächsten Generation (NGFW) ist eine erweiterte Firewall-Option, die Virenschutz, Netzwerk-Firewall, WAF und andere Sicherheitselemente in einer Lösung kombiniert. Ebenso wie eine klassische Firewall kann eine NGFW Angriffe auf Anwendungs-, Port- und Protokollebene erkennen und blockieren. Zusätzlich kann sie aktuelle Bedrohungen wie komplexe Malware-Angriffe sowie Angriffe auf die Anwendungsschicht blockieren. Eine NGFW beinhaltet darüber hinaus erweiterte Funktionen wie die Anwendungserkennung, ein System zur Verhinderung von Eindringungsversuchen (IPS) und cloudgestützte Bedrohungsanalysen.

Eine Firewall der nächsten Generation lässt sich am ehesten mit einer klassischen Firewall vergleichen (nicht mit einer WAF). Beide nutzen zwar statische sowie dynamische Paketfilterung und bieten VPN-Unterstützung, um Sicherheit zu gewährleisten, es gibt jedoch einige wesentliche Unterschiede. NGFW:

  • Unterstützt die Deep Packet Inspection (DPI), die über die bestehende Port- und Protokollinspektion einer klassischen Firewall hinausgeht
  • Bietet erweiterte Kontrolle und Transparenz für die Anwendungsschicht und kann anwendungsspezifische Pakete filtern
  • Kann Malware blockieren, bevor diese in das Netzwerk eindringt
  • Bietet mehr Schutz vor hochentwickelten hartnäckigen Bedrohungen (APTs)
  • Etabliert einen klaren Upgrade-Pfad, um künftige Anforderungen zu erfüllen
  • Unterstützt externe Datenquellen

Firewall-Lösungen von CrowdStrike: Falcon Firewall Management

Immer mehr Unternehmen versuchen, die Host-Firewall-Funktionen ihres Betriebssystems zu nutzen. Dabei finden sie zwar oft recht effektive Funktionen vor, werden aber mit einer komplexen, mühsamen Verwaltung und intransparenten blinden Flecken konfrontiert, die Stress für Administratoren bedeuten und zu Sicherheitslücken führen können.

Falcon Firewall Management ist eine hochentwickelte Lösung von CrowdStrike. Sie bietet einfache, zentralisierte Firewall-Verwaltungsfunktionen, mit denen Host-Firewall-Richtlinien einfach gesteuert und durchgesetzt werden können.

Falcon Firewall Management wird über den schlanken Agenten, eine zentrale Verwaltungskonsole und die cloudbasierte Architektur von CrowdStrike Falcon® bereitgestellt und bietet sofortigen Schutz vor Netzwerkbedrohungen bei minimaler Beeinträchtigung des Hosts – von der ersten Aktivierung bis zur laufenden Nutzung im Alltag.