WAF, 10 redenen waarom je niet zonder kunt

Gepost op: 24-1-2017 14:29:57 door Simon van den Bos
Tags: Application, Firewalls, WAF, Web
Simon van den Bos

De hack van een website of webapplicatie kan verstrekkende gevolgen hebben. Als een aanvaller data steelt of manipuleert, moet u hier mogelijk melding van maken bij de Autoriteit Persoonsgegevens. Ook bestaat het risico dat hackers via uw gehackte website klanten besmetten. De reputatieschade is dan al snel niet te overzien. Met een Web Application Firewall is heel veel ellende te voorkomen.

Dagelijkse praktijk

De gevolgen van onveilige websites en -applicaties komen bijna dagelijks in de media. Zo was WordPress de afgelopen maanden geregeld in het nieuws door beveiligingsproblemen met plug-ins. Het NCSC waarschuwde in oktober voor kwetsbaarheden in het populaire contentmanagementsysteem Joomla waardoor aanvallers websites volledig konden overnemen.

Ook het op grote schaal infecteren van websitebezoekers via besmette advertenties is dagelijkse praktijk. Volgens het recent gepubliceerde Cybersecuritybeeld Nederland voor 2016 is ‘malvertising’ zelfs een groeiend probleem. Om zoveel mogelijk slachtoffers te maken, worden deze malvertisingcampagnes meestal uitgevoerd via grootschalige advertentienetwerken. “De advertentienetwerken zijn nog niet in staat gebleken om dit probleem het hoofd te bieden.”

Web Application Firewall (WAF)

Al vanaf begin jaren negentig worden Web Application Firewalls (WAF’s) ingezet om webapplicaties en websites te beschermen. Zo biedt een WAF bescherming tegen dreigingen die worden genoemd in de OWASP Top 10.

Toch is het gebruik van een WAF nog altijd geen gemeengoed. Dit terwijl er steeds meer redenen zijn om een WAF in te zetten:

  1. Een WAF beschermt data tegen diefstal en manipulatie. Veel organisaties worstelen nog altijd met de security van data. Bijvoorbeeld de Algemene Verordening Gegevensbescherming, die strengere eisen stelt aan de bescherming van persoonsgegevens, eist echter van organisaties dat er concrete stappen worden gezet als het gaat om datasecurity. De inzet van een WAF is een grote stap vooruit.
  2. Een WAF biedt onder andere bescherming tegen dreigingen uit de OWASP Top 10, zoals SQL-injectie en cross-site scripting (XSS). Bij XXS wordt niet de applicatie zelf aangevallen, maar de gebruikers die van de webapplicatie gebruikmaken.
  3. Een cloud WAF biedt meestal bescherming tegen DDoS-aanvallen. Zo biedt Imperva’s Incapsula een ingebouwde DDoS-bescherming die DDoS-aanvallen gericht op websites en -applicaties detecteert en mitigeert.
  4. Met een WAF kan het botverkeer naar een website worden gereguleerd. In een Access Control List kan worden aangegeven welke ‘goede bots’ de website mogen bezoeken, en welke ‘slechte bots’ moeten worden geblokkeerd.
  5. Een WAF helpt bij compliance. Bijvoorbeeld ‘Requirement 6.6’ van de Payment Card Industry Data Security Standard (PCI DSS) verplicht bedrijven om creditcarddata in een database te beschermen. Dat kan met een WAF.
  6. Een WAF biedt waardevolle inzichten in de bezoekers van een site. Zo geeft een WAF een indicatie of verkeer afkomstig is van een mens of van bijvoorbeeld een bot, en of het verkeer verdacht is.
  7. Een WAF biedt waardevolle informatie voor forensisch onderzoek. Om bijvoorbeeld melding te kunnen doen van een datalek moet u weten wie wanneer toegang heeft gehad tot welke data. In de securitylogs van een WAF is snel terug te vinden wanneer er sprake is geweest van verdacht verkeer tussen gebruikers en een website of webapplicatie.
  8. WAF’s worden steeds slimmer. Bijna alle WAF’s kunnen tegenwoordig ‘op maat’ worden geconfigureerd om bescherming te bieden op basis van use cases en securitypolicy’s. De meeste WAF’s detecteren verdacht verkeer niet alleen op basis van signatures, maar ook op basis van de reputatie van een IP-adres en het gedrag dat is waar te nemen in het verkeer. 0-days zijn daardoor sneller te detecteren.
  9. Een WAF activeren hoeft niet per se complex te zijn. Traditioneel wordt een WAF tussen de gebruikers en de webapplicatie geplaatst, aan de ‘rand’ van het netwerk. Zo’n ‘inline’ implementatie vergt wel enige expertise, omdat netwerkconfiguraties moeten worden aangepast. Cloud-gebaseerde WAF’s maken de implementatie echter een stuk eenvoudiger. Een ‘redirect’ van het verkeer naar de webapplicatie via de cloud-WAF door de DNS-instellingen aan te passen volstaat. De cloud-WAF maakt vervolgens het verkeer naar een website weer helemaal schoon.
  10. De inzet van een WAF wordt steeds betaalbaarder. Een cloudgebaseerde WAF is al voor enkele duizenden euro’s per jaar af te nemen.

Grote stap

Onder andere de onophoudelijke belangstelling van cybercriminelen en de striktere wet- en regelgeving als het gaat om de bescherming van data zorgen ervoor dat een WAF onmisbaar is. Met de komst van cloud-WAF’s zijn er eigenlijk ook geen redenen meer om geen gebruik te maken van WAF’s. Met minimale inspanningen maak je een grote beveiligingsstap als het gaat om de bescherming van data.  

------------

Dit artikel is ook verschenen op Winmag

Blog postsRSS