Christian Folini über die strategische Rolle von Web Application Firewalls

Christian, mit einem Doktortitel in mittelalterlicher Geschichte neben deiner Karriere in der Cybersicherheit verbindest du zwei sehr unterschiedliche Fachgebiete. Welche Fähigkeiten aus deiner historischen Ausbildung sind besonders wertvoll für deine technische Arbeit?

Das ist eine spannende Frage, über die ich stundenlang referieren könnte. Eine Fähigkeit, die mir oft geholfen hat, liegt im Bereich der Forensik und im Debugging. Ich kann aus relativ wenigen Logfiles ein Maximum an Informationen herausziehen. Ich vermute, dass hat mit meiner Ausbildung als Mittelalterhistoriker zu tun, wo wir oft mit sehr knappen und oft auch nur schwer lesbarenQuellen arbeiten mussten. In so einer Situation denkt man oft stundenlang über einen einzelnen Satz nach. Und genauso mache ich es mit Logfiles, um genau zu verstehen, wie ein einzelner Eintrag entstanden ist.

Wie hast du deine Leidenschaft für Cybersicherheit entdeckt, insbesondere im Bereich Web Application Firewalls?

Als Junior habe ich auf mehreren Webservern gearbeitet. Während eines Audits empfahl mir die Konzernrevision eines Kunden, mir dieses ModSecurity mal anzusehen. Wir haben vereinbart, dass ich zwei Tage darin investiere. Das ist nun fast 20 Jahre her.

Als Autor des 'ModSecurity Handbook' und Co-Leiter des OWASP-CRS-Projekts (Core Rule Set), das eine Schlüsselrolle für den Schutz von Millionen von Servern weltweit spielt, hast du einen tiefen Einblick in die Bedeutung dieser Technologie. Könntest du erklären, warum dieses Projekt so wichtig für die Sicherheit von Webanwendungs ist und welche Rolle es in der Cybersicherheitslandschaft spielt?

Als Open Source Regelwerk für Web Application Firewalls ist OWASP CRS konkurrenzlos. Das bedeutet, dass kommerzielle Anbieter entweder selbst eine WAF mit eigenen Regeln entwickeln müssen oder CRS in ihr Angebot integrieren.

Natürlich kann man über WAFs geteilter Meinung sein und der Betrieb einer WAF ist kein Zuckerschlecken. Aber wenn man es richtig macht, dann leistet es einen wesentlichen Beitrag zu einer Verteidigung in der Tiefe.

Übrigens: Im Jahr 2008 sagte mir ein Machine Learning Entwickler, dass AI-WAFs bald so weit sein würden, CRS komplett zu ersetzen. An den Namen seiner Firma erinnert sich niemand mehr, aber CRS ist heute stärker denn je.

Welche Rolle spielt die Open Source Philosophie in deiner Arbeit und wie beeinflusst sie die Cyber Security Community?

Der Open Source Gedanke war für mich immer sehr wichtig und das vorbehaltlose Teilen entspricht auch meinen eigenen Werten. Aber, dass grosse Konzerne jährlich Millionen damit verdienen, indem sie das verkaufen, was wir gratis abgeben - und das tun, ohne uns wenigstens zu sponsoren, ist bisweilen frustrierend.

Durch die Möglichkeit digitale Werte kostenlos zu vervielfältigen, wird Open Source automatisch zu einem sehr erfolgreichen Modell. Dass man damit auch noch sehr gute Software schreiben kann, ist dabei eher ein Bonus.

Dein Talk bei GOhack24, 'Using a WAF to Make the Life of Bug Bounty Hunters Miserable', beschäftigt sich mit dem Einsatz von WAFs, um Bug Bounty Hunter zu kontrollieren und herauszufordern. Kannst du uns vorab ein paar Einblicke geben, wie WAFs strategisch eingesetzt werden können, um Sicherheitseinrichtungen effektiv zu schützen und gleichzeitig Bug Bounty Hunter auf Trab zu halten?

Aus konzeptionellen Gründen kann eine WAF keinen vollständigen Schutz bieten. Eine WAF hat immer Lücken und mit genügend Zeit kann man diese Lücken auch finden und ausnutzen. Das Spiel, das mich immer wieder neu fasziniert, ist der Versuch, den Zeitaufwand für die Angreifer zu maximieren.

In der Cybersicherheit haben wir heute oft die Situation, dass ein einziger Hacker ein sehr grosses Sicherheitsdispositiv im Alleingang ausschalten kann. Mit einer WAF wird es aber möglich, dass ein einziger Security Engineer ein kleines Heer von Bug Bounty Huntern von der Applikation fernhalten kann.

Ich erinnere mich an ein Setup, bei dem sich ein Pentester mehrere Tage lang an einer WordPress Admin Konsole versuchte. Nach Kontrolle der Logfiles teilte ich ihm mit, dass kein einziger seiner Requests den eigentlichen Server erreicht hatte. Er hat den Test dann abgebrochen.

Ohne WAF hätte er mit Sicherheit die WordPress Installation zerlegt. Dank der WAF konnte ich den Spiess aber komplett umdrehen und plötzlich ihn zappeln lassen.

Als Vertreter der Zivilgesellschaft im Steuerunsausschuss der Nationalen Cyberstrategie hast du eine zentrale Rolle bei der Gestaltung der Cybersecurity-Politik der Schweiz. In welcher Richtung entwickelt sich die Cybersicherheit in der Schweiz deiner Meinung nach?

Der dezentrale Aufbau des Staates und die heterogene Gesellschaft sind in puncto Cybersicherheit ein Fluch und ein Segen zugleich. Sie verhindern anfällige zentralisierte Systeme und führt zu ineffizienten, aber resilienteren Redundanzen. Ich habe aber den Eindruck, dass wir dabei sind die verschiedenen Player und Systeme besser zu vernetzen, aus Fehlern zu lernen und nun – oft im zweiten oder dritten Versuch – alles besser zu machen. Es hat bei uns ja noch nie am Know-How gemangelt, aber oft daran, dass nicht alle am selben Strick zogen.

Welchen Rat würdest du jungen Sicherheitsforschern geben, die gerade ihre Karriere in der Cybersicherheit beginnen?

Probiert etwas Neues aus! Wir machen jetzt seit 30 Jahren Security und die Situation ist trüb bis traurig. Wenn jemand die Situation verbessern kann, dann sind es die Neuzugänge in der Branche.