Column


Simon van den Bos:

WAF: 10 redenen waarom u niet zonder kunt

De hack van een website of webapplicatie kan verstrekkende gevolgen hebben. Als een aanvaller data steelt of manipuleert, moet u hier mogelijk melding van doen bij de Autoriteit Persoonsgegevens. Ook bestaat het risico dat hackers via uw gehackte website klanten besmetten. De reputatieschade is dan al snel niet te overzien. Met een Web Application Firewall is heel veel ellende te voorkomen.

Dagelijkse praktijk
De gevolgen van onveilige websites en -applicaties komen bijna dagelijks in de media. Zo is WordPress geregeld in het nieuws door beveiligingsproblemen met plug-ins. Ook het op grote schaal infecteren van websitebezoekers via besmette advertenties is dagelijkse praktijk. 

Volgens het Cybersecuritybeeld Nederland 2017 neemt het aan gevallen van ‘malvertising’ in Nederland weliswaar af, maar is er wereldwijd juist sprake van een toename. Om zoveel mogelijk slachtoffers te maken, worden deze malvertisingcampagnes meestal uitgevoerd via grootschalige advertentienetwerken. 

Web Application Firewall
Al vanaf begin jaren ’90 worden Web Application Firewalls (WAF’s) ingezet om webapplicaties en websites te beschermen. Zo biedt een WAF bescherming tegen de meeste dreigingen die worden genoemd in de OWASP Top 10.

Toch is het gebruik van een WAF nog altijd geen gemeengoed. Dit terwijl er steeds meer redenen zijn om een WAF in te zetten:

  1. Een WAF beschermt data tegen diefstal en manipulatie. Veel organisaties worstelen nog altijd met de security van data. Bijvoorbeeld de Algemene Verordening Gegevensbescherming, die strengere eisen stelt aan de bescherming van persoonsgegevens, eist echter van organisaties dat er concrete stappen worden gezet als het gaat om datasecurity. De inzet van een WAF is een grote stap vooruit.

  2. Een WAF biedt bescherming tegen de meeste dreigingen uit de OWASP Top 10, zoals SQL-injectie en cross-site scripting (XSS). Bij XXS wordt niet de applicatie zelf aangevallen, maar de gebruikers die van de webapplicatie gebruikmaken. 

  3. Een WAF biedt meestal bescherming tegen DDoS-aanvallen. Zo biedt Imperva’s Incapsula een ingebouwde DDoS-bescherming die DDoS-aanvallen gericht op websites en -applicaties detecteert en mitigeert. 

  4. Met een WAF kan het botverkeer naar een website worden gereguleerd. In een Access Control List kan worden aangegeven welke ‘goede bots’ de website mogen bezoeken, en welke ‘slechte bots’ moeten worden geblokkeerd

  5. Een WAF helpt bij compliance. Bijvoorbeeld ‘Requirement 6.6’ van de Payment Card Industry Data Security Standard (PCI DSS) verplicht bedrijven om creditcarddata in een database te beschermen. Dat kan met een WAF. 

  6. Een WAF biedt waardevolle inzichten in de bezoekers van een site. Zo geeft een WAF een indicatie of verkeer afkomstig is van een mens of van bijvoorbeeld een bot, en of het verkeer verdacht is. 

  7. Een WAF biedt waardevolle informatie voor forensisch onderzoek. Om bijvoorbeeld melding te kunnen doen van een datalek moet u weten wie wanneer toegang heeft gehad tot welke data. In de securitylogs van een WAF is snel terug te vinden wanneer er sprake is geweest van verdacht verkeer tussen gebruikers en een website of webapplicatie. 

  8. WAF’s worden steeds slimmer. Bijna alle WAF’s kunnen tegenwoordig ‘op maat’ worden geconfigureerd om bescherming te bieden op basis van use cases en securitypolicy’s. De meeste WAF’s detecteren verdacht verkeer niet alleen op basis van signatures, maar ook op basis van de reputatie van een IP-adres en het gedrag dat is waar te nemen in het verkeer. 0-days zijn daardoor sneller te detecteren. 

  9. WAF’s zijn steeds eenvoudiger te installeren. Traditioneel wordt een WAF tussen de gebruikers en de webapplicatie geplaatst, aan de ‘rand’ van het netwerk. Zo’n ‘inline’ implementatie vergt wel enige expertise, omdat netwerkconfiguraties moeten worden aangepast. Cloud-gebaseerde WAF’s maken de implementatie echter een stuk eenvoudiger. Een ‘redirect’ van het verkeer naar de webapplicatie via de cloud-WAF door de DNS-instellingen aan te passen volstaat. De cloud-WAF maakt vervolgens het verkeer naar een website weer helemaal schoon. 

  10. De inzet van een WAF wordt steeds goedkoper. Een cloudgebaseerde WAF is al voor enkele duizenden euro’s per jaar af te nemen. 

Grote stap
Onder andere de onophoudelijke belangstelling van cybercriminelen en de striktere wet- en regelgeving als het gaat om de bescherming van data zorgen ervoor dat een WAF onmisbaar is. Met de komst van cloud-WAF’s zijn er eigenlijk ook geen redenen meer om geen gebruik te maken van WAF’s. Met minimale inspanningen maakt u een grote stap als het gaat om de bescherming van data.

Simon van den Bos is productmanager bij Motiv.


Deze bijdrage is een bewerkte versie van een column die eerder is verschenen op de website van WINMAG Pro.

 

Lees meer over