Bescherm je platform tegen hackers met een Web Application Firewall zoals Cloudflare

Het internet is een vijandige plek. Er draaien tal van scripts die niets anders doen dan zoeken naar kwetsbare digitale platformen met oude(re) softwareversies. En los van het feit dat hackers hun best doen om misbruik te maken van kwetsbare plekken, hebben ook platformen zónder kwetsbaarheden daar last van. Hoe verweer je je tegen dit soort aanvallen? En hoe voorkom je dat jouw platform ongewild slachtoffer wordt van performance degradatie als je wél je zaken goed op orde hebt?

Hackers | iO

In dit artikel neemt iO Software Architect Bavo Janss een deep dive in Web Application Firewalls (WAFs) zoals Cloudflare. Hij legt uit hoe deze software een effectieve, extra beveiligingslaag toevoegt én ‘gezonde’ platformen beschermt tegen ongewilde performance degradaties en hacks.

Bedreigingen op het internet zijn van alle tijden. De wapenwedloop tussen websitebeheerders en hackers is op volle kracht bezig. Hoewel er de afgelopen jaren wel wat dingen zijn veranderd:

  • Zo is breedband internet inmiddels gemeengoed geworden. Hackers kunnen daardoor overal ter wereld hun activiteiten uitvoeren. Overheden staan daardoor vaak machteloos tegenover de hackers.

  • Aan de beheerderskant worden de maatregelen steeds effectiever. Standaard maatregelen zijn vaak voldoende om hackers buiten de deur te houden. Met andere woorden: de succes rate van hackers wordt steeds lager.

  • We zien daardoor alleen wel een verschuiving in de strategie van de kwaadwillenden. Aanvallen worden beter gepland, voorbereid en bovendien in kortere tijd uitgevoerd. En er worden heel veel platformen tegelijk aangevallen om de kans op succes te vergroten.

  • Ook blijft het aandeel ‘bad’ bots in het totale internetverkeer groeien.

  • Verder zijn standaardpakketten (bijvoorbeeld DXP’s, CMS’en en commerceplatformen) geliefd onder hackers. Doordat hackers grote hoeveelheden platformen tegelijk aanvallen, ontstaat er regelmatig een flinke performance degradatie. Ook als er in een specifiek platform op dat moment géén kwetsbaarheid is. In zo’n situatie wordt het doel van de hacker niet bereikt. Hij komt nergens binnen. Maar voor de normale gebruikers is het platform niet langer functioneel, heel traag of zelfs korte tijd compleet onbereikbaar. Niet goed voor de omzet en niet goed voor de reputatie.

Maar hoe kan dat gebeuren?

Met name grote CMS platformen zoals Sitecore, Umbraco, Drupal en Wordpress en commerceplatformen als Magento en Shopware zijn wereldwijd veelgebruikte standaardpakketten. Voor aanvallers is dat interessant. Daar zijn in ieder geval twee redenen voor te noemen:

1. Als een hacker eenmaal kennis heeft van een mogelijk lek in een standaardpakket kan hij met één enkel script eenvoudig honderd duizenden platformen aanvallen. Ondanks dat er voor bekende lekken vaak snel beveiligingspatches worden uitgebracht, is er altijd een korte periode waarin hackers kunnen proberen een lek te misbruiken. Het upgraden van een platform kost immers tijd én kan ook niet altijd snel genoeg plaatsvinden.

2. De andere kwetsbaarheid van standaardpakketten, zijn de additionele modules of plugins. Je kunt ze vrij eenvoudig installeren en zijn meestal relatief goedkoop voor het beoogde doel. Maar deze modules hebben vaak maar een relatief kleine gebruikersgroep. Veel kleiner dan de gebruikersgroep van het kernplatform. Lekken in specifieke modules worden daardoor vaak niet zo snel of snel genoeg ontdekt. Er zijn daarom hackers die zich juist alleen richten op modules en plugins, op zoek naar kwetsbaarheden. Hebben ze die gevonden? Dan vallen ze heel veel platformen tegelijk aan.

En in beide gevallen hebben de ‘gezonde’ platformen daar ook grote hinder van. Alle platformen worden namelijk aangevallen. Of een kwetsbare module of plugin nou geïnstalleerd is of niet.

Bedreigingen onderscheppen met een Web Application Firewall

Een Web Application Firewall (WAF) blijkt een effectieve manier om weerstand te bieden tegen al dit soort bedreigingen. Een WAF scant de inhoud van inkomend en uitgaand verkeer en is staat om veel voorkomende vormen van misbruik te herkennen én te blokkeren. Met behulp van ‘rules’ worden specifieke gedragingen van het verkeer naar de webserver herkend en gefilterd.

Het onderhoud van deze sets aan regels is een nieuwe wedloop geworden. Maar ook haast een dagtaak voor bijvoorbeeld website of -shop beheerders. En willen hackers dit kunnen omzeilen, dan moeten ze heel snel zijn met hun aanval. Anders worden ze door WAF’s over de hele wereld al herkend.

Ben jij online overal?

De tijd dat een website voldeed voor een goede digitale aanwezigheid ligt achter ons. Onze experts helpen je liever aan een volwaardig digitaal ecosysteem - geoptimaliseerd en on-brand – om écht je doelen mee na te jagen.

Laptop shopping data overview

Cloud Managed WAF’s zoals Cloudflare

Nieuw in deze wedloop zijn de Cloud Managed WAF’s, waaronder Cloudflare als één van de grootsten. Deze cloud-based SaaS-oplossing nemen voor beheerders de lastige zaken van compliance, regelgeving én continu updaten van ‘rules’ uit handen. Cloud Managed WAF’s hebben drie belangrijke voordelen:

  • Betere performance van het platform: al het verkeer dat door de Cloud Managed WAF wordt geblokkeerd, komt niet op de infrastructuur van de provider terecht. En levert daar dus ook geen load en performance degradatie.

  • Kostenefficiënt: de implementatie en het inregelen van nieuwe ‘rules’ gebeurt centraal en preventief. Dat scheelt onderhoud voor developers en kosten voor bedrijven.

  • Effectiviteit: de Cloud Managed WAF kijkt naar heel veel, duizenden, platformen tegelijkertijd. Ook buiten de eigen infrastructuur. Zodra er iets aan het licht komt op andere platformen worden er preventief ‘rules’ toegevoegd die ook voor jouw platform worden ingezet. Hackpogingen worden daardoor ook veel eerder en sneller in kaart gebracht.

Deze voordelen brengen natuurlijk niet alleen iets voor performance, kosten en effectiviteit, maar ook iets voor de focus van de teams. Door een Managed Cloud WAF in te zetten, kunnen business owners en developers weer meer focussen op de hoofdprioriteit: een succesvol platform (door)ontwikkelen en runnen.

Cloudflare is één van de grotere spelers op het gebied van Cloud Managed WAF’s. Omdat ze zo groot zijn, beschikken ze niet alleen over een bijzonder effectieve beveiligingslaag, maar zijn ze ook nog eens vriendelijk geprijsd. Vanaf $20,- per maand biedt Cloudflare voordelen die eigenlijk niet op een andere manier kunnen worden bereikt. Wel moet je nagaan of Cloudflare de beste optie is voor jouw organisatie. Cloudflare kan namelijk niet garanderen dat de data in de EU blijft, terwijl dit soms vanuit een juridisch oogpunt wel gewenst is. In dit geval zou je kunnen overwegen om voor de WAF van AWS of Azure te kiezen. Deze oplossingen zijn wel duurder, dus overweeg het alleen als het echt noodzakelijk is.

Het is dan ook een goed idee om een WAF, zoals Cloudflare, voor je eigen platform te overwegen als extra beveiligingslaag. Met een groeiend aantal geautomatiseerde aanvallen op veel gebruikte platformen, is het zaak om je daar goed en effectief tegen te wapenen.

Bavo Janss | iO
Over de auteur
Bavo Janss
Software Architect - iO

Bavo Janss is een echte softwareveteraan - hij begon 25 jaar geleden met het leveren van office automation aan klanten die werkten met mainframe terminals. Later maakte hij de opkomst van het internet, moderne websites, e-commerce en sociale media mee. Vandaag waardeert hij het grootste geschenk van moderne technologie elke dag: kennistoegang - zonder het geluid van een inbelmodem.

Blijf op de hoogte. Schrijf je in op onze nieuwsbrief

  • Laat je inspireren: onze strategen, technologen en creatievelingen delen hun kennis en inzichten.

  • Blijf up-to-date: ontvang relevante content over merkstrategie, bedrijfstransformatie, digitale ecosystemen of data-intelligentie.

  • Mis niks: ontdek onze nieuwe cases en blijf op de hoogte van onze laatste ontwikkelingen.