Zu Beginn des neuen Jahres werden wir über die Notwendigkeit einer Web Application Firewall (WAF), die Nutzung von Sicherheits-Frameworks und -Bibliotheken für Quellcode und einen neuen Dienst namens Bugalert sprechen, der Sie sofort über alle Schwachstellen mit hohem/kritischem Schweregrad informiert.
Eine WAF verwenden oder nicht verwenden
Die Wirksamkeit von WAFs ist ein stark umstrittenes Thema, da es schwierig sein kann, die Wirksamkeit einer WAF zu bestimmen. WAFs können immer dann von Vorteil sein, wenn die folgenden Bedingungen erfüllt sind:
- Die Kosten für die Behebung der Schwachstellen sind höher als die Implementierung einer WAF; oder
- Die Menge des blockierten Datenverkehrs liegt unter Ihrer Toleranzschwelle.
Sie können auch eine Firewall verwenden, um Maßnahmen zu ergreifen, die verhindern, dass Bots und Scraper auf Ihre Website gelangen, die Sicherheit auf der Anwendungsebene bieten und die Auflistung von IPs zulassen oder verbieten. Eine einfache Implementierung einer WAF könnte die Verwendung eines Captcha oder einer Javascript-Herausforderung zur Reduzierung dieser Arten von Bots beinhalten. Sie können eine WAF als Proxy verwenden, um bestimmten Datenverkehr zuzulassen und den Rest zu sperren.
Eine wichtige Erkenntnis über WAFs ist, dass es sich nicht um eine Lösung handelt, die man einfach einrichtet und wieder vergisst. Sie erfordern eine liebevolle Betreuung von der Einführung bis zum Einsatz der WAF. Es ist ein engagiertes Personal/Team erforderlich, um die WAF zu pflegen und ihre Nutzung kontinuierlich zu optimieren.
Idealerweise sollten Sie eine WAF als eine Lösung betrachten, die in erster Linie dazu dient, unerwünschten Datenverkehr zu Ihrer Webanwendung zu blockieren.
Nutzung von Sicherheits-Frameworks und -Bibliotheken für sicheren Code
Sicheren Code selbst zu implementieren, kann eine mühsame Aufgabe sein, wenn er richtig ausgeführt werden soll. Angreifer können winzige Teile Ihres Codes missbrauchen, um Ihre Anwendung angreifbar zu machen.
Im Hinblick auf die Sicherheit Ihres Codes gibt es Frameworks und Bibliotheken, die es Ihnen ermöglichen, sich auf die Sicherheit zu konzentrieren, während Sie sich auf die Entwicklung Ihres Produkts konzentrieren können. In diesem Artikel von Github werden verschiedene Methoden und Faktoren erörtert, die Ihnen helfen können, zu beurteilen, worauf Sie bei der Verwendung dieser Frameworks und Bibliotheken achten sollten.
Wenn Sie entscheiden, welche Bibliotheken Sie nutzen wollen, sollten Sie diese fünf Faktoren berücksichtigen:
- Ist das Paket weit verbreitet?
- Hat das Paket einen guten Ruf?
- Gibt es gute Kritiken über die jeweilige Bibliothek?
- Wird das Paket aktiv gepflegt?
- Hat das Paket eine bestimmte Laufzeit?
- Dies ist ein guter Indikator dafür, dass es eine klare Roadmap gibt und die meisten Funktionen konsequent umgesetzt werden.
- Werden die Sicherheitsprobleme des Pakets zeitnah behoben?
Wenn Sie mit Web-Frameworks zu tun haben und Sicherheit in diesen Frameworks wünschen, ist es wichtig zu bestimmen, welche Sicherheitsaufgaben (XSS-Ausgangskodierung oder Eingabevalidierung) von dem Framework übernommen werden sollen.
Ein wichtiger Faktor bei der Verwendung eines Web-Frameworks, in das eine Form von Sicherheit eingebettet ist, besteht darin, das Framework die Datenkodierung für Sie übernehmen zu lassen. Wenn Sie das Framework die Datenkodierung für Sie übernehmen lassen, verringert sich die Wahrscheinlichkeit, dass ein Benutzer eine Sicherheitsmaßnahme übersieht oder falsch implementiert. Wenn Sie ein mögliches unsicheres Verhalten zulassen, sollten Sie das zulässige Verhalten gründlich analysieren und sich darüber im Klaren sein, dass es nicht der Standard ist.
Wenn Sie Bibliotheken und Frameworks einbinden, ist es wichtig, die Abhängigkeiten in Ihrem Quellcode zu aktualisieren. Sie können Software Composition Analysis Tools wie GitHub Dependabot verwenden, um Ihre Abhängigkeiten auf dem neuesten Stand zu halten.
Bugalert
Nach der Sicherheitslücke in log4j veröffentlichte der Sicherheitsexperte Matthew Sullivan einen neuen Dienst namens Bugalert, der Sicherheits- und IT-Fachleute vor schweren und kritischen Sicherheitslücken warnt. Das einzige Ziel von Bugalert ist die schnelle Benachrichtigung über schwerwiegende Software-Schwachstellen per E-Mail, Telefon oder SMS.
Bugalert ist derzeit auf der Suche nach Mitwirkenden, die das Programm weiterentwickeln und verbessern. Jeder, der daran interessiert ist, einen Beitrag zu leisten, kann ein Github-Thema eröffnen.
Kommentare