Web-Anwendungen sind weit verbreitet. Der Grossteil aller Web-Anwendungen setzt auf bewährte Open Source Komponenten wie OpenSSL, das Spring Framework oder Projekte der Apache Software Foundation. Weil diese durch eine grosse Community entwickelt werden und Teil zahlreicher Anwendungen sind, gelten diese als mehrheitlich sehr sicher. Trotzdem: IT-Sicherheit ist ein Prozess und was einmal sicher ist, ist nicht automatisch auch für immer sicher. Auch in den weitverbreiteten Frameworks tauchen ab und an Sicherheitslücken auf. Einmal entdeckt, werden diese üblicherweise mit einer eindeutigen CVE (Common Vulnerabilities and Exposures) ID versehen und publiziert (z.B. CVE-2017-5638, für die im März 2017 veröffentlichte Apache Struts2 Verwundbarkeit). Gleichzeitig werden im Rahmen der Publikation meist auch entsprechende Workarounds oder Patches bereitgestellt.
Fatal: Sich in falscher Sicherheit wägen
Der von der Open Source Community bereitgestellte Patch ist jedoch nur ein (erster) Schritt zum Beheben der Lücke. Ein wichtiger weiterer Aspekt ist das Bewusstsein der Applikationsverantwortlichen, dass in ihrer Applikation das verwundbare Framework verwendet wird und somit Handlungsbedarf besteht. Eine regelmässige – allenfalls auch automatisierte – Überprüfung der Applikationen kann hier, gerade auch bei eingekauften Applikationen, helfen, entsprechende Schwachstellen frühzeitig zu identifizieren.
Lange Patchzyklen
Als nächstes müssen die bereitgestellten Patches eingespielt werden. Bei Standardanwendungen ist man hier vom Hersteller abhängig, der einen entsprechenden Patch zur Verfügung stellen muss. Bei Individualentwicklungen entweder vom internen Engineering-Team oder von einem Software-Entwicklungsunternehmen. Gemäss einer Studie von Onapsis aus dem Jahr 2015 vergehen beispielsweise bei SAP Systemen 18 Monate und mehr, bis diese gepatcht sind.
Sicherheit (ohne Zeitdruck) erhöhen
Neben dem Bewusstsein für anfällige Komponenten und entsprechend schneller Handlungsweise kann auch eine Web Application Firewall (WAF) zur Verbesserung der Sicherheit beitragen. Diese steht zentral vor allen Web-Anwendungen und bietet im Normalfall Schutz gegen bekannte Schwachstellen, wie auch gegen generische Angriffsvektoren der OWASP Top 10. Mit sogenannten virtuellen Patches können neu entdeckte Schwachstellen zudem oft zeitnah mittels entsprechenden Konfigurationsanpassungen entschärft werden. Damit spart man sich – je nach Applikationslandschaft – viel Aufwand für das patchen aller dahinterliegenden Applikationen, oder vermindert zumindest den unmittelbaren Zeitdruck. Ist ein virtuelles Patching nicht möglich, bieten WAF-Anbieter bei gravierenden Lücken zudem meist zeitnahe entsprechende Patches an.
Fazit
Der Betrieb von Applikationen im World Wide Web ist immer mit gewissen Risiken verbunden, die perfekte Sicherheit eine Illusion. Dennoch sollte der Schutz von Webapplikationen nicht auf die leichte Schulter genommen oder gar vernachlässigt werden. Eine regelmässige Überprüfung der Applikationen auf Schwachstellen, wie auch der Einsatz einer WAF können effizient zur Erhaltung eines hohen Sicherheitslevels beitragen. Denn bei aller «Unsicherheit» ist eines sicher. Im Internet lauern genug Gefahren, als dass man es sich leisten könnte, auch noch auf bereits bekannte Angriffe anfällig zu sein.
Marcial Rion ist seit 2004 als Senior Solution Architect bei United Security Providers tätig und arbeitet im mehrköpfigen Web Access Management Team.