De WAF (web application firewall) van F5 Networks is door Gartner benoemd als een stabiel en betrouwbaar product. Leuk voor F5. Want Gartner is niet zomaar een partij. Maar hoe overtuigend is het verhaal van F5 nou echt? We vragen het aan system engineer Luuk Dries en field marketing manager Bas Winckels. “Hoe bedrijfskritischer de applicatie, hoe groter de relevantie van onze WAF.”
De nieuwe generatie hackers doet het anders. Slimmer. Minder voorspelbaar. Geavanceerder. “Sophisticated” in de woorden van Luuk Dries, system engineer van het Amerikaanse securitybedrijf F5. “Vroeger was het makkelijker voor ons. Net als wij maken ook hackers progressie door. Ze combineren attacks of maken zichzelf onzichtbaar. Ze verbergen hun identiteit door achter een anonymous proxy te kruipen. Het is een wapenwedloop. Hoe bedrijfskritischer de applicatie, hoe groter onze relevantie.”
Het in 1986 in Seattle opgerichte F5 heeft inmiddels 4.300 medewerkers, 69 vestigingen in 36 landen en 49 klanten uit de lijst van de Fortune 50. Je zou het een succes kunnen noemen. Ooit begonnen als gamingbedrijf, kreeg F5 in de loop der jaren een steeds bredere scoop. ‘Beschikbaar maken van internetapplicaties en beveiligen tegen aanvallen’, dat is tegenwoordig de core business. Van internetbankieren tot gegevens opvragen bij de Belastingdienst, van social media tot webshoppen: 24/7 moeten applicaties beschikbaar zijn want downtime kost geld… en klanten.
Application flow
Oplossingen voor security zijn er in allerlei soorten en maten. De WAF (web application firewall) van F5 gaat verder waar anderen stoppen. Wat zijn de kenmerken van deze dienstverlening? Dries: “Veel andere securityleveranciers onderzoeken alleen aan de hand van signatures naar de bekende patronen die hackers gebruiken. Wij kijken juist ook naar afwijkend gedrag. Hoe beweegt de gebruiker door de applicatie? Wij noemen dat application flow.”
Afwijkingen in de flow zijn interessant. Dries noemt internetbankieren als voorbeeld. Normaal gesproken log je in als klant, je kijkt eens naar je saldo, doet een financiële transactie, kijkt nog eens naar je saldo en logt uit. Leuker wordt het niet. Er is geen reden om iets anders te doen of langer te blijven, tenzij je hacker bent. Een gebruiker die steeds terugkeert naar een bepaald punt in de applicatie, heeft daar kennelijk een reden voor. Dries: “Afwijkingen van het doorsnee gedrag zijn verdacht. Ze kunnen erop wijzen dat iemand kwaad in de zin heeft.”
Device fingerprinting
De WAF van F5 doet meer. Bas Winckels: “Hij herkent het gedrag van botnets en houdt ze tegen. Ook device fingerprinting willen we noemen. Onze WAF kan een device herkennen terwijl de gebruiker diens identiteit probeert te verbergen. Wij herkennen zo’n gebruiker wanneer hij z’n identiteit probeert te verbergen achter een anonymous proxy, als een anonieme bezoeker die eerder ook al inlogde.” De laatste interessante functionaliteit van de WAF heeft de wat ingewikkelde naam: application layer Denial of Service. Normaal gesproken bombardeert een DDoS-aanval een website met heel veel verkeer, zodat de site verstopt raakt. Minder bekend – en lastiger te herkennen- zijn aanvallen die het gemunt hebben op zwakke plekke in de applicatie. Een DOS aanval met heel weinig verkeer: slow attacks. Winckels: “Ook dat herkennen we.”
Het een en ander bleef niet onopgemerkt bij Gartner. Dries: “Gartner heeft ons hoog zitten omdat wij verder gaan met onze dienstverlening. Ze noemen ons een stabiele partij met een betrouwbaar product en eenvoudige dienstverlening. Onze user interface is gemakkelijk in gebruik en onze WAF-oplossing wordt ook aangeboden als een service. De klant hoeft zelf niets te configureren, alleen de service af te nemen. De oplossing is hetzelfde veelomvattende product. Veel concurrenten bieden hun services aan als uitgekleed product.”
Misverstand
Winckels plaatst nog een opmerking over WAF in de cloud: “Veel bedrijven denken dat wanneer ze hun applicaties naar de cloud verplaatsen, de veiligheid van deze applicaties vanzelfsprekend geregeld wordt door de cloud-aanbieder. Dat is niet zo. Als je een applicatie uit je eigen datacenter in de cloud plaatst, loop je een groter veiligheidsrisicio – en je bent zelf voor een deel verantwoordelijk voor de volledige bescherming van je applicaties. Kijk dus altijd goed voor welk deel je als klant verantwoordelijk bent. Met onze WAF is dat probleem overigens niet aan de orde. De WAF kan volledig worden geconfigureerd middels API’s, zodat die gemakkelijk is in te zetten in een geautomatiseerde omgeving, of in een cloudomgeving.”
Any app anywhere, vindt men bij F5. Of apps nou on-premise of in de private, public of multi-cloud nodig zijn, de complete dienstverlening van F5 kan mee: WAF, security, load balancing, DNS-services, en DDoS-mitigatie. F5 is geïntegreerd met belangrijke public cloudproviders als AWS, Microsoft Azure en Google Cloud èn aanbieders in de private cloud en/of open source. Denk aan VMware, Red Hat, OpenStack en OpenShift. Naast de genoemde namen is ook Cisco een van de partners.
F5 Networks kan u helpen om een robuste security strategie te ontwikkelen. Dit kan in zes simpele stappen. Lees meer hierover op https://interact.f5.com/the-evolving-risk-landscape-guide.html of luister naar de webinar over hoe zeven veel voorkomende bedreigingen het hoofd te bieden: https://interact.f5.com/F5EmergentThreatsWebinarENFEB20.html .
