Mehr ist weniger: Stolpern Sie bei Ihren Sicherheitstools nicht in die technische Schuldenfalle
Wenn Sicherheitsteams von einem neuartigen Cyber-Angriff erfahren, bringen sie oft in Windeseile zusätzliche Tools zur Verteidigung gegen die neuesten Bedrohungen an den Start. Frei nach dem Motto: „Lieber mit Kanonen auf Spatzen schießen.“ Auch wenn das gut gemeint ist, führt es im Laufe der Jahre zu einer immer größeren Ansammlung veralteter Web Application Firewalls (WAFs).
Derartige Kundenszenarien erinnern mich immer an einen Begriff, der in den 90er Jahren von dem legendären Programmierer Ward Cunningham geprägt wurde und inzwischen den meisten von uns geläufig sein sollte: technische Schulden. Dabei handelt es sich um eine beliebte Metapher in Softwareentwicklungskreisen, die sich auf zusätzliche Arbeit und Kosten bezieht, welche aufgrund von schlechten Designentscheidungen entstehen.
Tatsache ist, dass viele dieser herkömmlichen WAFs in puncto Security keinen sinnvollen Mehrwert bieten, aber zusätzliche Kosten verursachen, da sie ständig gepflegt werden müssen. Gleichzeitig investieren neue Generationen von Sicherheitsverantwortlichen nach und nach in verschiedene weitere Tools und sorgen dafür, dass der technische Schuldenberg stetig wächst.
Zeit, endlich „schuldenfrei“ zu werden. Und auch wenn die Modernisierung dieses widerspenstigen, aus verschiedenen Produkten bestehenden Legacy-Flickenteppichs vielleicht keine perfekte Lösung ist, können Sie so zumindest vermeiden, dass er immer weiter wächst.
Warum ist mehr oft weniger?
Da Angriffe immer häufiger und ausgefeilter werden, wird es für Sicherheitsteams durch das Hinzufügen weiterer WAFs zur Abwehr neuer Bedrohungen immer schwieriger, den genauen Überblick über die eigene Sicherheitslage zu behalten. Stattdessen erhalten sie unvollständige Einblicke, da die meisten herkömmlichen WAFs Kunden dazu zwingen, innerhalb ihrer jeweiligen Konsolen zu arbeiten oder Logdateien zu durchforsten.
Und da Sicherheitsanbieter zugekaufte Funktionen hinzufügen, ohne sie ordentlich zu integrieren, gibt es für jedes Tool – ob hardware- oder cloud-basierte WAF – unterschiedliche Schnittstellen, für die ein Lernprozess erforderlich ist, nur um zu bestätigen, ob ein Angriff tatsächlich stattgefunden hat. Dies führt wiederum zu einem noch fragmentierteren Überblick über den Anwendungs-Footprint für Sicherheitsteams und raubt ihnen jede Chance, den vollständigen Kontext eines Angriffs zu verstehen.
Unternehmen benötigen also ganz klar einheitlichen Schutz
egal, wo sie ihre Anwendungen oder APIs bereitstellen. Sie haben jedoch zunehmend mit Generationsunterschieden innerhalb ihrer Infrastruktur zu kämpfen – zum Beispiel mit dem Alter ihrer Infrastrukturen oder ob ihre Anwendungen on-prem, in der Cloud oder über einen Kubernetes-Pod bereitgestellt werden.
Zu wissen, ob bösartige Webanfragen versuchen, auf Ihre Serverinstanzen zuzugreifen – und mit welcher Absicht – ist entscheidend. Dasselbe gilt für die Angriffsquellen. Eine Multi-Layer-Toollandschaft erschwert es Ihren Teams, Antworten auf folgende Fragen zu finden: Was könnten Angreifer noch versuchen? Versuchen sie, Verzeichnisnamen auszuspähen? Zielen sie auf den Authentifizierungs- oder auf den Einkaufsprozess ab?
Verteidiger benötigen schnellen Zugriff auf eine leicht verständliche, einheitliche Übersicht über die Produktionssicherheitsdaten, um zu wissen, was auf all den verschiedenen Layern passiert. Dieselben Informationen sollten auch in den Tools verfügbar sein, die sie bereits nutzen – von SIEM-Tools wie Splunk bis hin zu DevOps-Tools wie Slack, PagerDuty und Jira. Stattdessen vergeuden sie oft wertvolle Zeit damit, Telemetriedaten zusammenzusuchen, die sie eigentlich zur Hand haben sollten.
Eine zukunftssichere WAF
Ich plädiere nicht für mehr WAFs. Ich plädiere für eine bessere WAF – eine, die mehr Aufgaben übernimmt, um all die technischen Schulden loszuwerden, die sich im Laufe der Jahre angehäuft haben.
Die meisten Sicherheitsteams werden nicht gerade begeistert sein, ihre gesamte Infrastruktur auf der Grundlage eines Marketingversprechens auseinanderzureißen und auszutauschen. Wir befinden uns jedoch an einem technologischen Scheideweg, an dem veraltete WAFs aufgrund des hohen Wartungsaufwands, den sie erfordern, tatsächlich einen Nachteil darstellen. Ganz zu schweigen von ihrer Vorliebe, legitimen Datenverkehr zu blockieren und Fehlalarme auszulösen.
Da sich die Branche zunehmend auf einen Ansatz mit verteilter Edge-Compute-Infrastruktur zubewegt, sollte jede Lösung einfach zu implementieren und in die anderen Sicherheitstools, in die der Kunde bereits investiert hat, integrierbar sein. Dafür sind Sicherheitslösungen notwendig, die sich mühelos installieren und verwalten lassen, aber nicht ständig False Positives auslösen.
CIOs und Entscheider müssen sich fragen, ob sie wirklich für jeden Angriffsvektor eine neue WAF benötigen oder ob es einen besseren Weg gibt. Eine moderne Lösung zum Schutz von Anwendungen- und APIs, die deutlich geringere Wartungskosten verursacht und noch dazu zukunftsfähig ist und es mit neuen Bedrohungen aufnehmen kann, kann zu erheblichen Kostensenkungen und geringeren technischen Schulden führen.
Teams benötigen Lösungen, die ihr Wertversprechen auch wirklich erfüllen, ohne Ops-Teams weitere Kopfzerbrechen zu bescheren. Die Zukunft ist ungewiss. Deshalb wird eine Sicherheitsarchitektur benötigt, die flexibel genug ist, um Anwendungen und APIs überall zu schützen – egal, ob in einem Rechenzentrum, in der Cloud, auf der Edge, in einem Container oder an einem anderen Ort, der vielleicht erst noch erfunden werden muss.