Sie brauchen eine Web Application Firewall. Wir erklären Ihnen, warum.

Anwendungssicherheit wird oft übersehen oder missverstanden, was viele Unternehmen weltweit anfällig für Kriminelle gemacht hat.  Der jüngste Verizon Data Breach Investigations Report (DBIR) ergab, dass sich die Angriffe auf Web-Applikationen im vergangenen Jahr verdoppelt haben und nun fast 43 % aller im Bericht analysierten Angriffe ausmachen. Darüber hinaus war an 55 % aller Sicherheitsvorfälle das organisierte Verbrechen beteiligt, und bei 30 % handelte es sich um interne Bedrohungen.

Der DBIR berichtet außerdem, dass Fehler im Zusammenhang mit der Fehlkonfiguration von Sicherheitssystemen seit 2017 stetig zugenommen haben und gegenüber dem letzten Jahr um 5 % gestiegen sind. Ein Beispiel für eine solche Fehlkonfiguration, die zu einem massiven Sicherheitsvorfall führte, finden Sie in unserem Blog über den Equifax-Vorfall. Eine Web Application Firewall ist darauf ausgelegt, Anwendungen vor externen und internen Bedrohungen zu schützen. Das Open Web Application Security Project (OWASP) verwaltet die OWASP Top 10, die die zehn kritischsten Bedrohungen für Web-Applikationen identifiziert. Die Liste wird anhand der Beiträge von Sicherheitsforschern erstellt und alle paar Jahre aktualisiert.

Bedrohungen wie die OWASP Top 10 existieren, weil eine Anwendung mehrere Komponenten umfasst und es schwierig sein kann, diese Komponenten zu sichern. Viele Web-Applikationen enthalten Plug-ins und Integrationen von separaten Entwicklern, und sowohl die Entwickler als auch die Anwendungseigentümer spielen eine Rolle bei der Gewährleistung der Sicherheit dieses Codes. Die gesamte Web-Applikation ist gefährdet, wenn eine Komponente kompromittiert wird. Im Fall von Equifax war ein Sicherheitspatch für die anfällige Komponente schon lange vor dem Angriff der Kriminellen verfügbar. Equifax hat einfach nie den Patch installiert. Web Application Firewalls können Angriffe erkennen und blockieren, die versuchen, anfälligen Code auszunutzen.

Web-Applikationen sind außerdem Angriffen ausgesetzt, die sich nicht auf Schwachstellen stützen. Zum Beispiel:

DDoS-Angriffe: Ein „Distributed Denial of Service“-Angriff kann Ihre Anwendung zum Absturz bringen, Ihren Geschäftsbetrieb stören und Ihr Unternehmen Zeit, Geld und Kunden kosten. Es gibt verschiedene Arten von DDoS-Angriffen, und das Motiv für einen Angriff kann alles vom, Verursachen einer bloßen Belästigung bis hin zum Verwischen der Spuren eines gleichzeitigen Angriffs mit Daten- oder Finanzdiebstahl sein.  Einer der größten DDoS-Angriffe der Geschichte richtete sich gegen Github und wird allgemein als politisch motiviert angesehen. Der DYN-DDoS-Angriff war auch in Bezug auf Angriffsstärke und Wirkung historisch. Die über 100.000 Geräte im Mirai-Botnet machten die Stärke und den Umfang dieses Angriffs möglich. Dank Crime-as-a-Service kann jeder einen DDoS-Kriminellen beauftragen, Ihr Unternehmen anzugreifen.

Credential-Stuffing: Bei diesem Angriff werden automatisierte Tools und gestohlene Benutzernamen- und Passwort-Kombinationen verwendet, um zu versuchen, sich bei mehreren Websites im Internet anzumelden. Ziel ist es, Zugang zum Konto eines Opfers zu erhalten und es zu benutzen, um Geld oder Daten des Opfers zu stehlen. Dieser Angriff funktioniert, weil Menschen oft dasselbe Passwort für mehrere Konten verwenden und sich auf Passwörter statt auf eine Multi-Faktor-Authentifizierung verlassen, um ihre Konten zu sichern. Erfolgreiche Angriffe auf Disney+, State Farm und Nintendo haben zur Preisgabe privater Kundendaten und zur betrügerischen Nutzung von Kundenkreditkarten geführt. Es kann schwierig und teuer sein, eine Marke nach einem Sicherheitsvorfall wieder aufzubauen.

Die Barracuda Web Application Firewall (WAF) schützt Ihre Anwendungen vor diesen Angriffen, ebenso wie vor den OWASP Top 10 und vielen weiteren. Unsere Barracuda WAF-as-a-Service ist ein Cloud-basierter Service für Anwendungssicherheit mit vollem Funktionsumfang, der innerhalb weniger Minuten einsatzbereit ist und Ihre Web-Applikation schützt.

Für eine kostenlose 30-tägige Testversion der Barracuda WAF-as-a-Service besuchen Sie bitte unsere Website.