Deutsch statt Fachchinesisch.

Glossar

Die wichtigsten Begriffe zum Thema Security haben wir hier für Sie zusammengestellt. Zögern Sie nicht, uns bei Fragen zu kontaktieren und ein persönliches Gespräch zu vereinbaren.

BYOI

Bring you own Identity ist eine Form der einfachen digitalen Authentifizierung bei der die Benutzeridentität von einem Driten verwaltet wird.

Cloud

Could Computing bedeuted das ausführen von Programmen, die nicht auf der eigenen Rechner Infrasturktur betreiben werden. In der Cloud wird IT Infrastrukur über das Internet zur Verfügung gestellt.

Man unterscheidet:

  • Public Cloud (Zugriff auf IT Infrastruktur für breite Öffentlichkeit)
  • Private Cloud (Zugriff auf IT Infrastruktur innerhalb der Organisation)
  • Hybrid Cloud (Zugriif auf gemischte IT Infrastrukut aus der private und public Cloud)
Cookie Protection

Eine dynamische Whitelist-Filterungsmethode, die einerseits die Anwender einer Webapplikation vor unberechtigtem Zugriff auf Cookie-Inhalte schützt, andererseits aber auch die Applikation selber vor Modifikation von Cookie-Inhalten. Die Cookies der Applikation werden in der Web Application Firewall in einem sogenannten Cookie Store gespeichert und gelangen per Default nie bis zum Client. Es besteht jedoch die Möglichkeit, Cookies dynamisch verschlüsselt zum Client durchzureichen. Diese Verschlüsselung verhindert eine Cookie-Manipulation.

Cross-Site Request Forgery (CSRF)

Angriff, bei dem das Opfer gezwungen wird, ungewollte Aktionen in einer Webapplikation auszuführen, in der es bereits angemeldet ist. Durch Social Engineering (z.B. einen Link via E-Mail oder Chat senden) kann ein Angreifer den Benutzer einer Webapplikation dazu bringen, unwissentlich Aktionen gemäss dem Plan des Angreifers auszuführen.

Dynamische Whitelist-Filterung

Eine Reihe von Whitelist-Filtermassnahmen, welche zur Laufzeit der Applikation erzeugt und so den Begebenheiten laufend angepasst werden. In Airlock wird die dynamische Whitelist-Filterung durch URL-Verschlüsselung, Smart Form Protection, Cookie Protection sowie vorgelagerte Authentisierung erreicht.

IAM

Identity and Access Management ermöglicht das Management von digitalen Identitäten und deren Zugriffsberechtigungen über Regelen und Rollen auf Applikationen und Services.

IDaaS

Identity as a Service ist eine Cloud-basierte Authentifizierungsinfrastruktur die von einem Security oder Service Provider errichtet, verwaltet und gehostet wird.

Load Balancing

Lastverteilung zwischen mehreren gleichartigen Systemen. Eine Web Application Firewall kann diese Aufgabe übernehmen: Eine Applikation läuft auf mehreren Servern gleichzeitig, als Reverse Proxy kann die WAF ankommende Requests über diese Server verteilen. Mittels sogenannter Health Checks wird laufend ermittelt, welche Server verfügbar sind. Auch asymmetrische Lastverteilung ist möglich.

Multilevel-Filterung

Filtert Anfragen an eine Webapplikation über mehrere Stufen für maximale Sicherheit und bei maximaler Benutzerfreundlichkeit der geschützten Webapplikation. Airlock erlaubt Filterung über sechs Stufen:

  1. Blacklist-Filterung
  2. Statische Whitelist-Filterung
  3. Dynamische Whitelist-Filterung
  4. Filterung strukturierter Daten (XML [Extensible Markup Language], SOAP [Simple Object Access Protocol], AMF [Action Message Format])
  5. Malware-Filterung (ICAP)
  6. Anwendungsspezifische Filterung
Path Traversal

Ein Angriff, der darauf abzielt, auf Dateien und Verzeichnisse ausserhalb des Web-Hauptverzeichnisses zuzugreifen. Ähnlich wie bei der Forced-Browsing-Attacke verwendet der Angreifer Variationen der Applikations-URL, zusammen mit einer oder mehreren Instanzen der Sequenz «../», um auf beliebige Pfade auf dem Webserver zuzugreifen.

Session Hijacking

Ein Angriff, bei dem sich der Angreifer als anderer Benutzer einer Webapplikation ausgibt, nachdem er Schwächen im Session-Kontrollmechanismus der Applikation ausgenützt hat. Der Angreifer verschafft sich Zugang zu einem Session Token, indem er ein gültiges Token von einem gültigen Benutzer stiehlt oder ein gültiges Token fabriziert.

SQL Injection

Ein Angriff, bei dem SQL-Datenbankabfragen über die Eingabefelder einer Webapplikation an die Applikation übergeben (=injiziert) und dort durch eine Schwachstelle der Applikation ausgeführt werden. Solche Abfragen können vertrauliche Informationen offenlegen oder die Daten in der Datenbank manipulieren.

Strukturierte Daten (XML, SOAP, AMF, JSON)

Im Verkehr zwischen einem Webbrowser und einem Webserver besteht der Inhalt primär aus HTML-Dateien, angereichert durch Bilder, Style Sheets und JavaScript-Dateien. Im Gegensatz dazu beruht webbasierter Verkehr zwischen zwei Servern, zwischen einer mobilen App und einem Server oder zwischen einer im Browser laufenden JavaScript-Applikation und dem Server typischerweise auf strukturierten Daten: Daten, deren Struktur einem vorgegebenen Schema entsprechen und die auf effiziente Maschinenkommunikation ausgelegt sind. Das erlaubt einer Schutzinstanz wie der Web Application Firewall, die Daten nicht nur auf verdächtige Inhalte zu prüfen, sondern auch sicherzustellen, dass die Form der übertragenen Daten der vereinbarten Struktur entspricht. Diese Validierung kann eine wichtige Rolle spielen, wenn es darum geht, Angriffe auf einen Web Service zu entdecken und zu neutralisieren.

Beispiele für strukturierte Datentypen sind XML, SOAP (Webservice-Aufrufe, basiert auf XML), AMF und JSON (Java Script Object Notation).

Vorgelagerte Authentisierung

Eine dynamische Whitelist-Filterungsmethode, die Webapplikationen vor unautorisiertem Zugriff schützt. Bevor eine Anfrage von einem Benutzer an eine Applikation weitergeleitet wird, stellt die vorgelagerte Authentisierung sicher, dass der Benutzer überhaupt zugriffsberechtigt ist. Somit wird die grösste Gefahr für Webapplikationen – Angriff durch unbekannte Täter – komplett gebannt. Durch die Delegation der Authentisierung an diese vorgelagerte Instanz, beispielsweise eine Web Application Firewall, lassen sich auch sehr einfach Single Sign-on-Szenarien über mehrere Webapplikationen hinweg implementieren.

Workforce IAM

Workforce IAM Lösungen sind nach innen gerichtet Identity and Access Management Lösungen. Sie erfüllen die klassischen Anforderungen, die für die Verwaltung von Mitarbeitern notwendig sind, wie zum Beispiel Genehmigungsworkflows, Zugriffszertifizierungen oder Policy und Rollenmanagement. Workforce IAM Lösungen sind nicht auf grosse Benutzerzahlen ausgelegt.

cIAM

Consumer oder Customer IAM wird ein Identy and Access Managmenet (IAM) System genannt, dass im Gegensatz zu einem klassichen nach innen gerichteten Workforce IAM, nach aussen gerichtet ist und auf Massen ausgelegt ist. Es bietet eine Vielzahl an Funktionalitäten, die bei klassischen IAM Lösungen fehlen. Details finden sich hier 

Content Rewriting

Ein Schutz vor unabsichtlichem Informationsfluss nach aussen: Fehler- und Statusmeldungen, die einem Hacker wichtige Hinweise für weitere Angriffe geben, werden ausgefiltert und in neutrale Meldungen umgewandelt. Diese Funktionalität erlaubt auch, sensible Daten wie z.B. Kreditkartennummern zu maskieren und somit vor versehentlicher Darstellung in einer Applikation zu schützen.

Cookie Tampering

Cookies sind Dateien auf dem Computer eines Benutzers, die einer Webapplikation erlauben, Informationen zur späteren Identifikation von wiederkehrenden Benutzern zu speichern. Aktionen eines Benutzers oder benutzerspezifische Einstellungen für eine Applikation werden ebenfalls in Cookies abgelegt. Cookie Tampering kann für Angriffe wie z.B. Session Hijacking verwendet werden, wo Cookies mit Session-Identifikationsinformationen von einem Angreifer gestohlen oder verändert werden.

Cross-Site Scripting (XSS)

Angriff, bei dem der Angreifer bösartige Skripts in eine ansonsten harmlose und vertrauenswürdige Website injiziert (siehe auch --> SQL Injection). Andere Besucher der Website führen diese Skripts unwissentlich aus und machen sich dadurch für weitere Angriffe verwundbar, wie zum Beispiel Identitätsdiebstahl.

Forced Browsing

Angriff, bei dem der Angreifer versucht, auf Ressourcen zuzugreifen, die nicht von der angegriffenen Webapplikation referenziert werden, aber trotzdem von aussen abrufbar sind. Dies geschieht durch Variationen der von der Applikation verwendeten und an den Client übermittelten URL.

ICAP

Ein Protokoll für die Kommunikation zwischen Proxy-Servern und ihren Zusatzdiensten. Das Protokoll ist verwandt mit HTTP und eignet sich besonders für Filterung und Modifikation der vom Reverse Proxy übertragenen Daten. Virenscanner werden typischerweise via ICAP (Internet Content Adaption Protocol) an Web Application Firewalls angebunden. Auch externe Filter und weitere WAF-Zusatzdienste basieren typischerweise auf ICAP.

IDM

Identiy Mangement bezeichnet in der digitalen Welt die Anforderung, dass sich eine Identität zur Verwendung einer Applikation, Plattform oder eines Services zuerst ausweisen also autorisieren muss.

Medusa

Medusa ist der frühere Name von Airlock IAM. Die Produkte "Airlock" und "Medusa" von Ergon wurden Anfang 2015 in der Airlock Suite unter den neuen Namen Airlock WAF und Airlock IAM lanciert.

OWASP

Das Open Web Application Security Project (OWASP) ist eine non-profit Organisation mit dem Ziel Applikationen und Services im Web sicherer zu machen. Die OWASP Community veröffentlicht in unregelmäsigen Abständen die OWASP Top 10 Sicherheitsbedrohungen für Web Applikationen und Services.

Reverse Proxy

Ein Proxy-Server, der Daten im Namen eines Client bei einem oder mehreren Servern bezieht. Diese Daten werden dann zum Client geschickt, als ob sie direkt vom Reverse Proxy selber stammten. Reverse Proxies werden verwendet, um die typischen Funktionalitäten einer Web Application Firewall zu erreichen: SSL-Terminierung, vorgelagerte Authentisierung, Multilevel-Filterung sowie Load Balancing.

Smart Form Protection

Eine dynamische Whitelist-Filterungsmethode, die vor Formular-Modifikationen schützt. Wenn aktiviert, können Drop-down-Menüs, versteckte Felder sowie weitere definierte Formeigenschaften auf der Client-Seite nicht mehr unbemerkt verändert werden. Der Server ist zudem davor geschützt, dass zusätzliche, unerwünschte Formularfelder eingeschleust werden.

SSL-Terminierung

Schützenswerte Daten werden meist verschlüsselt zwischen Browser und Server übermittelt – dann kommt das Protokoll HTTPS zum Einsatz. Dieses basiert auf der Verschlüsselungsmethode SSL. Lesbar sind die Daten ausschliesslich für die beiden Endpunkte einer HTTPS-Verbindung, Zwischenstationen der Übertragung erhalten keinerlei Einblick in die übertragenen Informationen. Da diese verschlüsselten Daten aber wiederum einen Angriff darstellen können, ist es essenziell, dass eine Schutzinstanz wie z.B. eine Web Application Firewall das SSL-Protokoll terminiert. Dadurch erhält sie Zugriff auf die vom Browser übertragenen Daten. So können Angriffe erkannt und abgewehrt werden. Unbedenkliche Übertragungen werden bei Bedarf erneut verschlüsselt und an den Server übergeben.

URL-Verschlüsselung

Eine dynamische Whitelist-Filterungsmethode zur Verhinderung von Forceful Browsing: Webadressen der Applikation werden verschlüsselt an den Client weitergereicht. So kann verhindert werden, dass ein Angreifer durch Modifikation der Adresse Zugang zu unzureichend geschützten Teilen der Applikation erhält. Topologie der Applikation und die verwendete Technologie (z.B. PHP) sind damit ebenfalls nicht erkennbar.

WAM

Web access management (WAM) ist eine Form des Identitätsmanagement, die den Zugriff auf Webapplikationen und Services durch Authentifizierung und methodische Autorisierung (Regel, Rolle und Risikobasiert) steuert. Zusätzlich bietet Web Access Management Lösungen häufig auch Single sign-on und User Self-services für gesteigerten Benutzerkomfort. 

200 OK

«200 OK» ist der Statuscode einer erfolgreich bearbeiteten HTTP-Anfrage. HTTP ist das Standardprotokoll zur Übertragung von Webseiten zwischen Browsern und Webservern.