Forrester hat Cloudflare im Bericht „The Forrester Wave™: Web Application Firewalls“ aus dem dritten Quartal 2022 als einen Marktführer (Leader) anerkannt. Darin wurden zwölf Anbieter von Web Application Firewalls (WAF) anhand von 24 Kriterien bewertet, wozu unter anderem das aktuelle Sortiment, die Strategie und die Marktpräsenz der Unternehmen gehören.
Um ein kostenloses Exemplar des Berichts zu erhalten, können Sie sich hier registrieren. Der Report hilft Fachleuten aus dem IT-Sicherheits- und Risikobereich, das richtige Angebot für ihre Anforderungen zu finden.
Wir sind der Meinung, dass uns diese Würdigung zusammen mit den jüngsten Entwicklungen im WAF-Segment in unserem kontinuierlichen Engagement für unsere Web Application Firewall (WAF), einem unserer Kernprodukte, noch einmal bestärken.
Neben der DDoS-Abwehr und den CDN-Diensten zählt die WAF zu den Lösungen, die wir seit der Gründung von Cloudflare anbieten. Für uns gibt es daher keinen besseren Zeitpunkt als unsere Birthday Week, um diese Anerkennung zu erhalten.
Außerdem möchten wir diese Gelegenheit nutzen, um Forrester zu danken.
Führende WAF im Bereich „Strategie“
Cloudflare hat von allen bewerteten Anbietern die höchste Punktzahl in der Kategorie „Strategie“ erhalten. Außerdem haben wir die bestmögliche Bewertung in zehn Kriterien erreicht, darunter:
- Innovation
- Verwaltungs-Nutzerschnittstelle
- Erstellung und Anpassung von Regeln
- Log4Shell-Reaktion
- Abklärung von Sicherheitsvorfällen
- Feeback-Loops für den Sicherheitsbetrieb
Laut Forrester „[ist] die Web Application Firewall von Cloudflare ein leuchtendes Beispiel, was Konfiguration und Regelerstellung betrifft“. Cloudflare hebe sich zudem durch eine aktive Nutzer-Community im Web und die verbundenen Kennzahlen zu Reaktionszeiten von der Masse ab. Weiter heißt es: „Wer Benutzerfreundlichkeit Vorrang einräumt und auf der Suche nach einer einheitlichen Plattform für Anwendungssicherheit ist, für den ist Cloudflare eine hervorragende Wahl.“
Schutz von Webanwendungen
Die wesentliche Funktion jeder WAF besteht im Schutz von Webanwendungen vor externen Angriffen, indem Kompromittierungsversuche durchkreuzt werden. Kompromittierungen können die vollständige Übernahme einer Anwendung und das Ausschleusen von Daten zur Folge haben, was für das betroffene Unternehmen finanzielle Einbußen und eine Rufschädigung mit sich bringt.
Das Log4Shell-Kriterium im „Forrester Wave“-Bericht ist ein hervorragendes Beispiel für einen Anwendungsfall aus der Praxis, der den Nutzen einer WAF verdeutlicht.
Die schwerwiegende Sicherheitslücke Log4Shell wurde im Dezember 2021 entdeckt und betraf die beliebte Software Apache Log4J, die häufig von Anwendungen zur Implementierung einer Protokollfunktion genutzt wurde. Die Schwachstelle konnte von Angreifern genutzt werden, um Programmcode aus der Ferne auszuführen und dadurch die Kontrolle über die anvisierte Applikation zu übernehmen.
Aufgrund der Beliebtheit dieser Software-Komponente waren nach der Bekanntgabe der Sicherheitslücke am 9. Dezember 2021 viele Firmen rund um den Globus gefährdet.
Wir gehen davon aus, dass wir die höchstmögliche Bewertung in der Kategorie „Log4Shell“ erhalten haben, weil wir so schnell auf die Ankündigung reagiert und sichergestellt haben, dass Nutzer der Cloudflare-WAF weltweit innerhalb von weniger als 17 Stunden vor dem Exploit geschützt werden konnten.
Gelungen ist uns dies durch die Implementierung neuer verwalteter Regeln (mit virtuellem Patching), die sämtlichen Kunden zur Verfügung gestellt wurden. Sie wurden im Zuge einer Blockierungsmaßnahme eingeführt. So konnte sichergestellt werden, dass die Versuche, die Schwachstelle auszunutzen, die Applikationen der Kunden gar nicht erst erreichen.
Darüber hinaus haben wir die Öffentlichkeit ständig über die neuesten Entwicklungen informiert, auch über interne Vorgänge. Das hat dazu beigetragen, Klarheit zu schaffen und ein besseres Verständnis der Schwere des Problems und der zu ergreifenden Gegenmaßnahmen zu vermitteln.
In den Wochen nach der Verlautbarung haben wir die WAF-Regeln mehrfach aktualisiert, nachdem verschiedene Varianten des Angriffs-Payloads entdeckt worden waren.
Letzten Endes konnten unsere Kunden mit der Cloudflare-WAF wertvolle Zeit gewinnen. Diese haben sie genutzt, um ihre Systeme zu patchen, bevor Angreifer gefährdete Anwendungen entdecken und versuchen konnten, die Schwachstelle auszunutzen.
Eine ausführlich Beschreibung dazu, wie wir auf die Log4Shell-Mitteilung reagiert und welche Maßnahmen wir ergriffen haben, finden Sie in dem zugehörigen Blogbeitrag.
Cloudflare-WAF jetzt nutzen
Die Cloudflare-WAF erhöht die Sicherheit von Unternehmen, während sich diese auf die Verbesserung ihrer Applikationen und APIs konzentrieren. Wir integrieren branchenführende Funktionen für Anwendungssicherheit in eine einzige Konsole, um nicht nur Anwendungen mit unserer WAF zu schützen, sondern auch APIs abzusichern, DDoS-Angriffe zu stoppen, unerwünschte Bots zu blockieren und nach JavaScript-Attacken über Drittanbieter Ausschau zu halten.
Wenn Sie die Cloudflare-WAF noch heute nutzen möchten, können Sie sich für ein Konto registrieren.