Grundsätzlich sollte die Absicherung einer Web-Anwendung bereits in der Design- beziehungsweise Entwicklungsphase beginnen. Worauf es dabei ankommt, versucht das Owasp Web-Entwicklern unter anderem mit seiner jährlich aktualisierten Liste "The Ten Most Critical Web Application Security Vulnerabilities" nahezubringen. Doch "sichere" Programmierung allein reicht nicht. "Natürlich ist es immer erstrebenswert, durch sichere Entwicklung Fehler von vornherein zu vermeiden - ganz auszuschließen sind Schwachstellen jedoch nie", gibt Stefan Strobel, Geschäftsführer des auf Applikationssicherheit spezialisierten Unternehmens Cirosec, zu bedenken. Aber auch regelmäßige Sourcecode-Audits, um Fehler in bereits bestehenden Anwendungen aufzuspüren und zu beheben, sind nach Erfahrung des Experten kein Allheilmittel. "Wir haben in Bankenapplikationen im Zuge von Audits Schwachstellen gefunden, deren Behebung im Endeffekt bis zu einem Dreivierteljahr in Anspruch genommen hat - unter anderem, weil sich dabei wieder neue Fehler eingeschlichen haben", beschreibt der Berater. Während dieser Zeit ist die Anwendung angreifbar.
Einfache Default-Konfiguration erhöht bereits den Schutz;
Sicherheit zentral konfigurierbar;
Sicherheitsoptimierung unabhängig vom Anwendungshersteller;
Schutz gegen bekannte und unbekannte Angriffe;
Anpassung in der WAF oft schneller zu realisieren als in der Applikation;
Methoden sind genauer als "Deep Inspection" klassischer Firewalls.
Zu restriktive oder falsche Einstellungen stören den Betrieb/Nutzer;
Grad des Schutzes konfigurationsabhängig (trügerische Sicherheit);
Zusatzkosten zu Kauf und Betrieb der WAF;
Software-Update kann andere WAF-Konfiguration erfordern.
Quelle: Deny All
