Schutz von Web-Awendungen und APIs

Die WAF ist tot - es lebe WAAP

Web-Anwendungen und APIs sind ein attraktives Ziel für Cyberkriminelle. Vor diesem Hintergrund wurde die WAAP-Technologie zum Leben erweckt.
Von 
CSO | 11. September 2023 06:04 Uhr
WAAP-Lösungen schützen sowohl Web-Anwendungen als auch APIs vor Cyberbedrohungen.
WAAP-Lösungen schützen sowohl Web-Anwendungen als auch APIs vor Cyberbedrohungen.
Foto: ra2 studio - shutterstock.com

Untersuchungen des inzwischen zu Synopsis gehörenden Security-Anbieters NTT Application Security zufolge sind etwa die Hälfte aller Web-Anwendungen und APIs (Programierschnittstellen) verwundbar. Um die Sicherheit von Internet-Anwendungen zu erhöhen, muss daher an allen Stellen des Software-Lebenszyklus angesetzt werden, von der Entwicklung bis zum Betrieb. Es leuchtet ein: Je früher eine Schwachstelle gefunden wird, desto schneller und günstiger ist die Korrektur.

Die Ausbildung und Sensibilisierung von Software-Entwicklern und -Architekten gehen das Problem an der Wurzel an, auch wenn dies keine hundertprozentige Sicherheit bringen wird. Zusätzlich sind regelmäßige Penetrations-Tests durch Sicherheitsexperten notwendig, doch sie sind aufwändig und immer nur eine Momentaufnahme. Um die Fehlerquote zu reduzieren, braucht der Mensch deshalb noch weitere technische Unterstützung.

Dazu gehören automatisierte Testwerkzeuge, die gefährliche Stellen im Code oder bekannte Sicherheitslücken in Open Source-Bibliotheken aufdecken. Allerdings können auch diese Tools nicht verhindern, dass eine Schwachstelle erst dann entdeckt wird, wenn die Anwendung bereits live ist. Deshalb braucht es nochmals eine Maßnahme: Exponierte und sensitive Daten müssen zusätzlich auch im Betrieb geschützt werden.

Dies hat die Kreditkarten-Industrie schon sehr früh erkannt und in ihrem Branchen-Sicherheitsstandard (PCI-DSS 4.0) den Schutz durch eine Web Application Firewall (WAF) explizit vorgeschrieben. Eine solche WAF wird zwischen dem Benutzer und der laufenden Webanwendung platziert und schützt letztere auch vor Angriffen und Missbrauch, wenn alle anderen Maßnahmen versagt haben. Analog zu WAFs gibt es dafür spezialisierte API-Sicherheitslösungen.

Von WAF zu WAAP

Neben Web-Awendungen erfreuen sich APIs einer immer grösseren Beliebtheit. Das liegt daran, dass moderne Internet-Anwendungen und viele mobile Apps ihre Daten per API beziehen. Programmierschnittstellen bringen aber auch neue und spezifische Probleme mit sich. Das Open Web Application Security Project (OWASP) hat deshalb 2019 eine eigene Top 10 Liste für API Security Risks herausgegeben.

Immer häufiger werden auch kombinierte Lösungen zum Schutz von Web-Anwendungen und APIs eingesetzt. So wurde das Akronym WAAP zum Leben erweckt, das für Web Application and API Protection steht. Zum Umfang einer WAAP-Lösung gehören folgende Funktionsbereiche: Web Application Firewall, API Security, Denial-of-Service-Schutz und Bot-Abwehr. Neben den gutartigen Suchmaschinen gibt es nämlich immer mehr unerwünschte Bots, die unbefugt Informationen sammeln oder auch ferngesteuert durch Cyberkriminelle automatisierte Angriffe durchführen.

Lesetipp: Die 10 besten API-Tools

Virtuelle Pflaster als schnelle Überbrückung

WAAP macht also allen unerwünschten Besuchern das Leben schwer, egal ob Hobby-Hacker oder professioneller Cyberkrimineller. Für befugte Benutzer hingegen ist eine WAAP-Lösung nicht sichtbar. Die Schutzmaßnahmen können im Idealfall sogar unbekannte Angriffe abwehren. Ein wichtiger Zusatznutzen von WAAP ist das Virtual Patching: Was passiert, wenn eine heikle Schwachstelle einer Anwendung im laufenden Betrieb bekannt wird? Im Durchschnitt dauert es nämlich über 250 Tage, bis eine kritische Schwachstelle behoben ist. Bis die Korrektur verfügbar ist, können WAAP-Betreiber einen virtuellen Patch erstellen, der das Ausnutzen der Schwachstelle sofort verhindert. Selbst wenn ein Anwendungs-Patch zeitnah verfügbar ist, kann mit einem virtuellen Patch das verwundbare Zeitfenster nochmals verkürzt und das Update ohne Zeitdruck getestet und ausgerollt werden.

Dani Estermann ist Product Marketing Manager von Airlock bei der Ergon Informatik AG.