Introbild

Web Application Security

Wirksamer Schutz schon auf der Applikationsebene

Webanwendungen sind weltweit erreichbar. Das macht sie zum begehrten Angriffsziel. Erstaunlich viele Webapplikationen enthalten gravierende Sicherheitslücken. Die Sicherheit von Webanwendungen hängt in erster Linie von der Programmierung ab. Es gibt aber auch weitere effektive Massnahmen, um sie vor gängigen Hackermethoden zu schützen. ISPIN richtet sie ein.

Wo früher statische Webseiten im Internet vorherrschten, stellen heute komplexe dynamische Webapplikationen den Internetnutzern unzählige Funktionen bereit, um Geschäftsprozesse optimal zu unterstützen. Die Applikationen verändern sich schnell, da sie laufend neue Anforderungen erfüllen müssen. Alles ist möglich: die einfache Bereitstellung von Produktinformationen, die aktuelle Aufbereitung von Informationen aus CRM-/ERP-Systemen, um den Aussendienst zu unterstützen, die Möglichkeit, Produkte direkt im Online-Shop eines Unternehmens zu bestellen – und vieles mehr. Doch eines bleibt dabei immer gleich: Die Webapplikationen sind direkt an die Kernsysteme eines Unternehmens angebunden.

Auch innerhalb eines Unternehmens kommunizieren mittlerweile die meisten Applikationen auf der Basis von XML miteinander. Damit tauschen die Webservices auf einfache Weise Informationen aus, etwa zwischen ERP-, CRM-, Office- oder Produktionssystemen. Die Manipulation von Webservices verursacht rasch hohe Kosten, Umsatzausfälle und einen nicht messbaren Imageverlust. Die Ursache von Schwachstellen liegt meist bereits in der Programmierung. Denn bei der Entwicklung steht eine schnelle Verfügbarkeit zu geringen Kosten im Mittelpunkt – Sicherheit wird vernachlässigt oder nur oberflächlich umgesetzt. 

Mit dem Einsatz einer Web Application Firewall (WAF) erhöht ISPIN wirksam die Sicherheit von Webanwendungen. Diese bietet gegenüber normalen Netzwerk-Firewalls oder Intrusion-Prevention-Systemen einen erweiterten Schutz, da sie auf einer höheren Ebene arbeitet. Sie überwacht den HTTP-Traffic, filtert und blockiert und wird direkt auf dem Server oder als eigenständige Firewall installiert. Im Gegensatz zu einer normalen Firewall werden die Daten nicht auf Netz- und Protokollebene, sondern direkt auf der Applikationsebene analysiert. Die WAF untersucht alle Anfragen, die an einen Webserver gesendet werden, und dessen Antworten. So analysiert sie unter anderem die empfangenen Eingabeparameter für die Formularfelder der Webapplikation und blockiert Parameter, die nicht den definierten Vorgaben – etwa Parameterlängen, Parameterwertetypen oder Parameteranzahl – entsprechen. Erkennt die WAF verdächtige oder gefährliche Muster, unterbindet sie die weitere Kommunikation des Clients.

Ihre wichtigsten Vorteile in Kürze

  • Erkennen von Sicherheitslücken von Webapplikationen schon in der Entwicklungsphase
  • Analyse, Handlungsempfehlungen und Lösungskonzepte, um Ihre Webapplikationen sicher zu gestalten
  • Einrichtung einer hochwirksamen Web Application Firewall (WAF)
  • Analyse aller Anfragen, die an einen Webserver gesendet werden, und dessen Antworten
     
  • Überwachung des Datenverkehrs nicht auf Netz- und Protokollebene, sondern direkt auf der Applikationsebene 
  • Unterbindung der Kommunikation eines Clients beim Erkennen verdächtiger oder gefährlicher Muster
  • Entwicklung von exakt auf Ihre Prozesse abgestimmten Plugins durch die ISPIN-eigene Entwicklungsabteilung
     

Unser Angebot

Ihre Webapplikationen sicher gestalten
Je früher Sicherheitslücken von Webapplikationen schon in der Entwicklungsphase erkannt werden, desto einfacher sind sie zu beheben. ISPIN unterstützt Sie und analysiert Ihre Umgebung und Prozesse umfassend, ermittelt den Schutzbedarf und erstellt Handlungsempfehlungen und Lösungskonzepte, um Ihre Webapplikationen sicher zu gestalten. 

Als langjähriger strategischer Partner von Ergon setzt ISPIN bei der Web Application Security auf die Airlock Web Application Firewall. Unser Know-how haben wir in vielen erfolgreichen Implementierungen bei Kunden verschiedener Branchen unter Beweis gestellt. Banken sind ebenso darunter wie Versicherungen, der Detailhandel, die Industrie und die öffentliche Hand. Unsere eigene Entwicklungsabteilung entwickelt Plugins und stimmt sie exakt auf Ihre Prozesse ab.

» Weitere Informationen zur Airlock Suite

«Fehlerfreie Software existiert nicht.»
Wietse Venema

Schliessen Sie alle Sicherheitslücken. Schliessen Sie sich kurz mit mir.

André Ulrich

Head Center of Competence MSS & Engineering