Praktische toepassingen met een Web Application Firewall

Praktische toepassingen met een Web Application Firewall

9 July 2020 door in Security

Online dienstverlening heeft te maken met steeds strengere privacyregelgeving en veiligheidsnormen waaraan voldaan moet worden. Dit is met name het geval in de FinTech en Healthcare sectoren. De veiligheidseisen zijn voor een groot deel gericht op het veiligstellen van persoonlijke data van gebruikers van de online dienst. Bij Cyso krijgen we regelmatig de vraag om te helpen met deze securityvraagstukken. Een Web Application Firewall (WAF) wordt hier in toenemende mate voor ingezet. De combinatie van een WAF met toepassingen die de servers zelf in de gaten houden, zorgt ervoor dat je zeer gericht mogelijk misbruik kunt signaleren.

Scala aan technieken

Vaak wordt er een scala aan technieken toegepast om veiligheid te bieden. De meest bekende toepassingen zijn waarschijnlijk firewalls en virusscanners.

Firewalls zijn er in verschillende vormen die verschillende vormen van bescherming bieden. Van oudsher is het idee achter een firewall het volledig blokkeren van ongewenst verkeer. Een meer gespecialiseerde en uitgebreide vorm van een firewall is een Web Application Firewall. Een WAF onderscheidt zich van een klassieke firewall door de inhoud van HTTP (web)verkeer te ‘lezen’ en gebaseerd op die gegevens verkeer toe te laten of te blokkeren.

De nieuwe WAF dienst van Cyso

Zo’n WAF is een van de geavanceerde security diensten die Cyso aanbiedt. Onze WAF dienst is een oplossing welke op maat in de omgeving van de klant kan worden geïnstalleerd. Cyso’s WAF kan incidenten en beschikbare informatie uit dataverkeer en logfiles snel en slim filteren en op basis hiervan een voorstel doen voor te nemen security beslissingen. Zo bouwt het systeem een profiel op dat precies aansluit bij de applicatie van de klant.


Meer informatie over onze WAF toepassing vind je hier: WAF informatie

Het combineren van security diensten

Onze WAF oplossing geeft vanuit zichzelf al veel functionaliteit voor het verhogen van de veiligheid. Maar door deze te combineren en te integreren met andere security toepassingen, zoals Host Intrusion Detection System (HIDS) of een security incident management systeem (SIEM), komen er nog gerichter en praktischer mogelijkheden tot je beschikking.

Doordat aangetroffen activiteit op servers zelf (door een HIDS of SIEM) gecombineerd kan worden met de gegevens die de WAF verzamelt (netwerkactiviteit), wordt het mogelijk om pogingen tot misbruik zeer gericht te kunnen analyseren en daarop te reageren.

Enkele praktische voorbeelden van mogelijkheden die wij voor klanten realiseren door het combineren van verschillende security diensten:

Vroegtijdig inzicht verkrijgen in hoe een aanvaller te werk gaat

Een poging om in te breken op systemen gebeurt slechts zelden op slechts één moment, maar vaak in verschillende fases. Als je het begin van een aanval op tijd detecteert, kan je deze stoppen voordat het te laat is.

  • Automatische prioritering van events
  • Monitoring van access logs
  • Vroege fase detectie door monitoren van apart gedrag
  • Volledige HTTP request body capture
  • Koppeling van gebruikersnaam en sessie-informatie voor nauwkeurige opsporing

Inzicht in de verschillende aanvalstechnieken

De WAF houdt verschillende onderdelen in de gaten, zoals API’s en specifieke onderdelen van een webapplicatie zoals een betaalpagina. Verdacht gedrag en de ondernomen acties erop zijn inzichtelijk in de web portal, maar kunnen ook op andere manieren worden doorgegeven, zoals:

  • Bericht via Slack naar een beheerder of andere medewerkers bij een aanval
  • Een rapportage naar de klant zodat deze ziet dat een aanval is afgeslagen

Audit trail van SSH-access

Het uiteindelijke doel van een hacker is vaak het verkrijgen van root access op de command line (shell) van een server. Daarmee heeft deze over het algemeen feitelijk volledige controle over een systeem. Het streng controleren van SSH-toegang en logs, en deze combineren met andere logs (zoals die van een web- of applicatieservice) om een aanvalspatroon te signaleren is daarom bijzonder waardevol.

  • Koppeling SIEM-systeem en kernel logs
  • Correlatie SSH en web aanvallen

Integratie met tooling voor compliancy

Om te kunnen voldoen aan veiligheidsstandaarden zoals ISO 27001 of PCI/DSS is het noodzakelijk om aan te kunnen tonen dat er incidentopvolging plaatsvindt. Door onze security toepassingen te integreren met management tools kunnen dergelijke gegevens automatisch worden gekoppeld.

  • Integratie met issuetracking en projectmanagement software inclusief geautomatiseerde templates voor compliance medewerker(s)

Meer weten?

Wil je meer weten over onze security diensten? Wij staan je graag te woord.

Neem contact met ons op


Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
Bel me terug