Fachartikel

Machine Learning in Web Application Firewalls

Das Potenzial von Machine-Learning-Modellen in Sicherheitsprodukten wie Web Application Firewalls ist groß. Statistische Lösungsansätze bringen aber neue Gefahren mit sich. Die Kunst ist, zu erkennen, in welchen Bereichen die Systeme einen tatsächlichen Mehrwert liefern und wie diese gestaltet werden müssen, um Anforderungen an Sicherheit und laufenden Betrieb zu erfüllen. Fundiertes Fachwissen im Bereich Applikationssicherheit und Machine Learning ist dabei zentral für den Erfolg eines solchen Projekts.
Machine Learning kann auch Web Application Firewalls bei der Gefahrenabwehr helfen.
Wieso soll man eine unsichere Webapplikation mit einem zusätzlichen Sicherheitsprodukt wie einer Web Application Firewall (WAF) schützen? Wäre es nicht sinnvoller, diese Ressourcen in die sichere Entwicklung der Anwendung oder in die Identifizierung und Behebung der Sicherheitslücken zu investieren? Das Problem: Wegen der Art und Weise, wie heute Webapplikationen entwickelt, konfiguriert und ausgerollt werden, ist es unglücklicherweise kaum möglich, alle Sicherheitslücken zu stopfen. Sogar wenn der selbstgeschriebene Programmcode entsprechende Qualitätsanforderungen erfüllt, so hängt er möglicherweise von Komponenten ab, die dies nicht tun.

Wie lässt sich nun trotzdem die Sicherheit einer Webapplikation gewährleisten? Die Lösung kannten bereits die Erbauer von Burgen im Mittelalter: Defense in depth. Der Ansatz kombiniert mehrere unabhängige IT-Sicherheitssysteme und reduziert somit das Risiko eines erfolgreichen Cyberangriffs. In einem solchen System spielt eine Web Application Firewall bezüglich des Schutzes der Webanwendung eine zentrale Rolle.
Web Application Firewalls und Machine Learning
Mit dem allgemeinen Boom von Machine Learning (ML) in den letzten Jahren hält der Einsatz entsprechender Techniken vermehrt Einzug in den Bereich der IT-Security. Ein Team von Machine-Learning- und Web-Security-Spezialisten der Ergon Informatik AG untersucht aktuell den Einsatz von ML-Methoden im Bereich der Web Application Firewall Airlock. Dabei erhielten Sie einen Überblick zu den Chancen und Risiken ML-basierter Methoden im Bereich WAF.

Die Kernaufgabe einer Web Application Firewall besteht darin, die nachgelagerten Webapplikationen vor technischen Angriffen zu schützen. Dabei lässt sich Machine Learning nicht nur für die Erkennung von Webattacken einsetzen. Denkbar ist auch die Nutzung im Bereich Loganalyse oder die Unterstützung eines Administrators beim Erstellen oder Optimieren komplexer WAF-Konfigurationen.

Klassische Methoden und Machine Learning – eine Ergänzung
Die meisten Sicherheitsrisiken in Webapplikationen lassen sich durch eine spezifische WAF-Funktion verhindern oder stark reduzieren. Dabei kommen meist regelbasierte Systeme zum Einsatz. Bei älteren Webanwendungen liegt der Großteil der Applikationslogik auf dem Server und der Client folgt dem vorgegebenen Ablauf, beispielsweise indem er ein präsentiertes Formular vom Benutzer ausfüllen lässt. Solche Systeme können sehr effektiv durch dynamische Regeln wie dem Verschlüsseln von URLs, Signieren von HTML Formularelementen oder dem Einsatz von CSRF-Tokens geschützt werden. Moderne Webanwendungen dagegen, bei denen ein Großteil der Applikationslogik im Client läuft, lassen sich teilweise nur sehr schwer mit dynamischen Funktionen absichern.

Ein Nachteil regelbasierter Systeme ist, dass sie meist nur gegen einen sehr spezifischen Angriffsvektor schützen oder aber mit hohem Integrationsaufwand verbunden sind. ML-basierte Methoden versprechen hier einen Mehrwert, da sie auch bei einer gewissen Unklarheit des Angriffsvektors Verwendung finden können. Die nachfolgende Grafik beurteilt einige typische WAF-Sicherheitsfunktionen bezüglich deren Integrationsaufwand sowie der Fähigkeit, unbekannte Angriffe zu erkennen.


Die Abwehr nahezu aller potenziellen Arten von Attacken lässt sich nur durch eine Kombination verschiedener Sicherheitsansätze erreichen.

In der Grafik ist ersichtlich, dass kein einzelnes Sicherheitsfeature die ganze horizontale Achse, das heißt alle möglichen Angriffsvektoren, abdeckt. Spezifische Angriffe wie Cross-Site Request Forgery oder bekannte Code-Injection-Attacken werden weiterhin am effektivsten durch sehr spezifische, auf diesen Angriffsvektor zugeschnittene, Sicherheitsfunktionen verhindert.

10.02.2021/ln/Reto Ischi, Head of Research and Development bei Airlock WAF

Nachrichten

Schutzschild für die Cloud [22.02.2021]

Die neueste Version von Tufin SecureCloud unterstützt nun auch die Google Cloud-Plattform und bietet den Kunden so die Möglichkeit, Compliance-Richtlinien zu definieren und zu überwachen. Mit Amazon Web Services, Microsoft Azure sowie der Cloud-Plattform von Google unterstützt Tufin fortan die drei führenden Cloudanbieter, was vor allem Unternehmen mit Multi-Cloud-Strategie nützt. [mehr]

Kostenfreier Passwort-Manager von Avira [19.02.2021]

Nutzer, die ihre Passwörter kostenlos und geräteübergreifend verwalten möchten, können dies mit dem "Avira Password Manager" tun. Damit lassen sich sichere Passwörter generieren, speichern, verwalten und synchronisieren. Der Password Manager meldet Nutzer automatisch bei allen Online-Konten an – egal ob unter Windows, Mac, iPhone oder Android. [mehr]

Tipps & Tools

Im Test: Veeam Availability Suite 11 [28.01.2021]

Die Datensicherungssoftware Veeam Backup & Replication als Hauptbestandteil der Availability Suite ist seit Jahren bei KMU weit verbreitet. Zusätzliche Anforderungen wie der Betrieb in der Cloud und der Einsatz auf verschiedenen Virtualisierungsplattformen verlangen immer wieder Funktionserweiterungen. Sehr interessant für Multiplattform- und Cloudumgebungen sind die Möglichkeiten zur VM-Migration und -Konvertierung. Gut gefallen in Version 11 hat uns außerdem die CDP-Funktion, um bei einem Ausfall einen Failover mit nur minimalem Datenverlust zu realisieren. [mehr]

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen