WAF

SecureIQLab WAF Test 2024

3min

Alle Artikel WAF
Dani Estermann
Stellungnahme zum Test von Airlock Gateway durch SecureIQLab

WAF-Test mit gravierenden Mängeln

Wir begrüssen jede Bestrebung, ein Sicherheitsprodukt auf seine Effektivität und Effizienz zu testen, statt es nur auf Basis seines Funktionsumfangs zu bewerten (wie viele andere Analysten dies tun). Einen solchen Test hat die Firma SecureIQLab zuletzt im Q1/2024 durchgeführt. Die aktuellen Testergebnisse von SecureIQLab entsprechen allerdings nicht annähernd dem Schutzpotential von Airlock Gateway. Dafür gibt es im Wesentlichen zwei Gründe:

  1. Unzureichende Airlock-Konfiguration: Wichtige Schutzfunktionen von Airlock Gateway waren gar nicht aktiv. 
     
  2. Fehlende Testszenarien: Der Test beinhaltete in vielen Bereichen keine realistischen Angriffe, die Airlock Gateway hätte abwehren können.

Die Tabelle weiter unten listet konkrete Beispiele für solche Test-Mängel auf.

Oberflächliche Tests gaukeln hohe Sicherheit vor

Die Liste der von SecureIQLab durchgeführten Tests ist auf den ersten Blick beeindruckend lang. Durch zahlreiche Formeln wird zudem der Eindruck einer wissenschaftlich ausgeklügelten Validierung geweckt. Bei genauerem Hinsehen zeigt sich jedoch ein anderes Bild. Die Angriffsszenarien sind teilweise so oberflächlich, dass die Testresultate wenig über die Effektivität einer WAF aussagen. Hier zwei Beispiele dafür:
 

  • Zweifelhafte Bot-Tests
    Im Bereich Bot Protection wird geprüft, ob die WAF blockiert, wenn sich ein Angreifer über den User-Agent String zu erkennen gibt. Diese "Abwehrmassnahme" ist in der Praxis wenig effektiv, weil sich selbst ein ungeübter Angreifer kaum freiwillig zu erkennen gibt. Ein halbwegs schlauer Bad Bot verschleiert seine Identität und gibt sich als normaler Benutzer aus. Dafür simuliert der Bot einen Browser mit einem unverdächtigen User-Agent String. Smarte Bots interpretieren sogar Javascript-Code und imitieren menschliche Mausbewegungen. Eine aussagekräftigere Messlatte für WAFs wäre, wenn auch solche Bots erkannt würden, die nicht bereits auf eine simple User-Agent-Prüfung hineinfallen.
    Für die Abwehr smarter Bots braucht es eine intelligentere Bot Protection: Denn selbst ein smarter Bot lässt sich von einem menschlichen Benutzer unterscheiden, wenn man Verhaltensmerkmale wie z.B. das Timing und die Reihenfolge der Seitenaufrufe betrachtet. Die verhaltens-basierte Bot Protection analysiert, wie sich die berechtigten Benutzer einer konkreten Anwendung verhalten. Airlock Anomaly Shield berechnet daraus für jede Anwendung ein massgeschneidertes Machine-Learning-Modell, mit dem sich auffällige Verhaltens-Ausreisser schnell erkennen und damit auch unerwünschte Bots blockieren lassen. Leider kam Anomaly Shield in diesem Test nicht zum Einsatz. 
     
  • Filter Evasion nicht getestet:
    Der Test bescheinigt vielen WAFs eine hundertprozentige Schutzwirkung gegen Angriffe wie SQL Injection oder XSS, obwohl deren Schutzfilter leicht umgangen werden können. Solche WAFs sind typischerweise optimiert auf öffentlich verfügbare Angriffsbeispiele und bieten keinen effektiven Schutz gegen Filter Evasion Attacks. Damit bezeichnet man Verschleierungstaktiken eines Angreifers, um die Filter einer Web Application Firewall zu umgehen. Airlock Gateway ist aktuell die einzige WAF auf dem Markt, die für jede gefundene Filter Evasion im Rahmen eines seit 4 Jahren laufenden Bug Bounty Programs eine Prämie ausbezahlt und dadurch die sichersten Injection Filter auf dem Markt entwickeln konnte. Dieser Schutz reicht dabei weit über das Blockieren von Bots und Pentesting Tools hinaus und ermöglicht es effektiv, das Ausnützen einer Injection-Vulnerability zu verhindern. Filter Evasion wurde im Test kaum berücksichtigt, wodurch ein verzerrtes Bild in Bezug auf das Schutzniveau der Produkte vermittelt wird.

Diese Beispiele machen deutlich, dass Feigenblätter nicht geeignet sind, um Anwendungsschwächen zu kaschieren. Um komplexe Angriffe in einer WAF abzuwehren, braucht es wesentlich intelligentere Schutzfunktionen und viel Erfahrung. Deshalb analysieren wir seit 20 Jahren Angriffsrisiken auf Webapplikationen und APIs und lassen die Erkenntnisse in unsere Produkte einfliessen. Unser Schweizer Entwicklungsteam investiert laufend in neue Technologien, von denen unsere Kunden regelmässig mit neuen Versionen von Airlock Gateway profitieren.

Wir sind den Testern von SecureIQLab sehr dankbar, dass sie uns auf eine Schwachstelle im Management Interface von Airlock Gateway aufmerksam gemacht haben. Dank der sofortigen Reaktion unseres Entwicklungsteams konnte diese Lücke innerhalb von 48h mit einem Hotfix geschlossen und alle Kunden informiert werden. Die professionelle und schnelle Reaktion ist einer der Gründe für das große Vertrauen unserer Kunden und Partner in uns.

Wir hoffen, dass SecureIQLab unser Feedback bei der nächsten Iteration der WAAP-Tests berücksichtigen wird, damit zukünftige Tests das volle Potential von Airlock ausschöpfen können.

 

Konkrete Testmängel

Beim Test durch SecureIQLab waren zahlreiche Schutzfunktionen von Airlock Gateway entweder gar nicht aktiv, oder der Test enthielt gar keine geeigneten Szenarien für diese Schutzfunktion.

 

Airlock
Schutzfunktion

Mögliche
Gefahren

Test-Mangel

Sichere Mehrfaktor-Authentifizierung
Die vorgelagerte Mehrfaktor-Authentifizierung in Kombination mit Airlock IAM kann Schwächen im Anwendungslogin kompensieren.


Unauthorized Access,
Identity Theft, Account Takeover
OWASP A07:2021 (Identification and Authentication Failures)

⚠️ Airlock Schutzfunktion war nicht aktiv

Gehärtete Deny Rules
Blocklisten zur generischen Erkennung häufiger Angriffe wie den OWASP Top 10
SQL Injection, Command Injection, XSS etc. kombiniert mit Techniken zur Filter Evasion		⛔️ Kein Testszenario für Filter Evasion
Anomaly Shield
Verhaltens-basierte Anomalieerkennung, massgeschneidert für die jeweilige Anwendung/API.
Malicious Bots, Vulnerability Scans, Brute Force Attacks, Content Scraping, Denial-of-Service, Account Hijacking, Password Spraying, Click Fraud		⚠️ Airlock Schutzfunktion war nicht aktiv

API Protection: OpenAPI Schema Validierung 
Mittels Schema Validierung werden API-Aufrufe blockiert, die nicht der vom Anbieter definierten Schnittstelle entsprechen.


API Abuse, Brute Force Attacks, Parameter Tampering, Enumeration Attacks, Invalid Data Submission, Type Confusion Attacks		⚠️ Airlock Schutzfunktion war nicht aktiv

Dynamic IP Blacklisting
Vorübergehende Sperrung einer IP-Adresse bei wiederholten Angriffen.


Wiederholte und automatisierte Angriffe von der gleichen IP

⚠️ Airlock Schutzfunktion war nicht aktiv

Threat Intelligence (Webroot IP Reputation)
Dank eines Realtime-Feeds werden alle Zugriffe von bekannten Botnetzen, kompromittierten Systemen und anderen nicht vertrauenswürden Adressen blockiert.


DoS- und andere Angriffe von bekannten Botnetzen, kompromittierten Systemen und nicht vertrauenswürden Adressen. 

⚠️ Airlock Schutzfunktion war nicht aktiv

Cookie Protection
Cookies werden durch Verschlüsselung oder einen Cookie Store vor Manipulation geschützt.


Cookie Manipulation, Cookie Stealing, Session Hijacking

⛔️ Kein Testszenario für Cookie Protection

URL Encryption & Form Protection
verhindert die Manipulation von HTML-Formularfeldern und der URL (z.B. Ändern/Hinzufügen von Parametern)


Forceful Browsing, Parameter Tampering,
Injection-Angriffe, CSRF-Attacken, Path Traversal etc.

⚠️ Airlock Schutzfunktion war nicht aktiv

CSRF Tokens
verhindern das Ausnutzen von CSRF-Schwachstellen. Sie stellen damit sicher, dass heikle Aktionen nicht unbemerkt  im Namen des Opfers durchgeführt werden.


CSRF-Attacks		⛔️ Kein Testszenario für CSRF

Request Rate Limiting
Neben DoS-Angriffen können auch Loginbruteforce-Angriffe duch Request Rate Limiting auf bestimmte Pfade verhindert werden.


Bruteforce Attacks, DoS Attacks		⚠️ Airlock Schutzfunktion war nicht aktiv

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern