1

Waarom een web application firewall noodzakelijk is Door: Paul Muller

2

De gemiddelde website wordt iedere dag tussen de 2 en 200 keer aangevallen door allerlei worms en crawlers die gebruik maken van meer en minder bekende aanvalsmethoden. Echter lijken organisaties hier dikwijls onvoldoende op voorbereid te zijn. Ze vertrouwen - ten onrechte - in groten getale op verouderde beveiligingsmethoden.

In dit artikel leest u hoe u uw web applicaties op een goede manier kunt beveiligen.

Onvoldoende beveiliging Volgens onderzoek van het Ponemon instituut zijn in het afgelopen jaar bij circa driekwart van de onderzochte organisaties één of meerdere web applicaties minimaal één maal gehackt. Desondanks geven veel van deze organisaties jaarlijks meer geld uit aan koffie dan aan een goede online bescherming.

Dergelijke organisaties beschermen hun web applicaties nog steeds met een network firewall. Deze aanpak staat gelijk aan het betreden van een zwaardgevecht met een kartonnen schild, aldus het onderzoeksinstituut.

Voorbeelden van web applicaties Veelvoorkomende web applicaties zijn webmail, webshops en online bankieren. Ook uw belastingaangifte op het internet is een web applicatie. Web applicaties vervullen een functie en zijn interactief. Als primaire protocol gebruiken ze doorgaans 'http' en daar zit de crux.

Waarom zijn web applicaties vaak kwetsbaar? De beveiliging van web applicaties laat dikwijls te wensen over. Dat heeft te maken met de druk die er ligt op de ontwikkeling van nieuwe applicaties. Web applicaties zijn namelijk zeer belangrijk voor organisaties. Vanuit commerciële overwegingen moet er snel gehandeld worden en daardoor schiet veiligheid er bij in.

Om snel te werken gebruiken organisaties dan bijvoorbeeld bestaande, kwetsbare code. In deze situaties wil het ook nog wel eens voorkomen dat beveiligingsexperts niet vanaf het begin in de ontwikkelteams zitten. Testen vindt dan pas in late fase en zeer beperkt plaats. Dit alles duidt er op dat organisaties zich onvoldoende bewust zijn van veiligheidsissues.

De core business van hackers De core business van hackers is het exploiteren van kwetsbaarheden in applicaties. Ze ontwikkelen 'http-requests' die er op netwerkniveau onschuldig uitzien, terwijl de data binnen die request wel degelijk schade aan kunnen richten. Kortom: hackers zijn wolven in schaapskleren.

3

Zonder de juiste veiligheidsmaatregelen, kunnen foute 'http-requests' ongelimiteerde toegang tot databases vinden. Zo kunnen ze bijvoorbeeld de inhoud van uw website veranderen.

Traditionele firewalls onvoldoende Helaas merken we vaak dat de juiste maatregelen ontbreken. Te veel organisaties denken dat ze met traditionele firewalls uit de voeten kunnen, maar dat is niet zo. Deze firewalls kijken alleen op netwerkniveau en daar ziet alles er onschuldig uit.

De traditionele firewall ziet alleen het schaap en niet de wolf, want deze analyseert de inhoud van het 'http pakket' niet. Voor deze klus heeft u een web application firewall nodig. Doet u dit niet, dan hebben hackers in principe vrij spel om sensitieve data uit uw organisatie te smokkelen.

Tijd voor actie Nu organisaties steeds meer vertrouwen op web applicaties voor interactie met hun klanten, is het tijd om de beveiliging te verbeteren en over te gaan op web application firewalls.

De creditcard industrie heeft het belang van een goede beveiliging inmiddels onderkend en de aanwezigheid van een web application firewall verplicht opgenomen in de compliance eisen.

Nu de rest nog... het is tijd voor actie. Als u weet dat inbrekers op de loer liggen, laat u de deur ook niet open staan. WideXS biedt een web application firewall als dienst aan, vraag ons vrijblijvend naar de mogelijkheden.

Wilt u meer informatie over dit onderwerp? Download dan onze gratis whitepaper:

4

Fotocredit