Qualys onthult IronBee open source webapplicatie firewall

RSA Conference 2011, San Francisco (USA), 14 februari 2011 - Qualys®, de leverancier van oplossingen voor on-demand IT security risk en compliance management, annonceert vandaag op RSA Conference USA 2011 IronBee, een nieuw open source project dat voorziet in next-generation Web Application Firewall (WAF) technologie. Het nieuwe project wordt geleid door het team dat ModSecurity heeft ontworpen en gebouwd. Het project is bedoeld om een web application firewall sensor te produceren die beveiligd is, grote prestaties biedt, portable en vrij beschikbaar is, zelfs voor commercieel gebruik. www.ironbee.com is open voor alle partijen die belangstelling hebben om bij te dragen aan de ontwikkeling. 

Een WAF is doorgaans een server plug-in of een softwarefilter dat een set regels toepast op een http-interactie teneinde de verplaatsing van data te monitoren en te controleren om deze te beveiligen tegen mogelijke aanvallen. Door de regels van de WAF op maat te maken, kunnen veel aanvallen worden geïdentificeerd en geblokkeerd. Het toenemende gebruik van webapplicaties en de transitie naar cloud computing maken WAF-technologie noodzakelijk om data te beschermen en om tegemoet te komen aan regelgeving zoals die van de Payment Card Industry (PCI). Met de lancering van IronBee creëert Qualys een duurzame community voor commerciële en open source deelnemers die zal waarborgen dat bedrijven in alle soorten en maten in staat zijn om next-generation WAF-technologie te gebruiken voor het beschermen van hun gegevens en hun IT-systemen. 

“We zijn erg enthousiast over het IronBee project,” zegt John Summers, vice president product management bij Akamai Technologies. “Akamai en Qualys delen de visie dat web security zich moet ontwikkelen tot een ecosysteem van controlemechanismen die zich zowel in de cloud bevinden als binnen de infrastructuur van de gebruiker. Het IronBee project helpt de sector die kant op te gaan. Akamai draagt graag bij aan IronBee om de mogelijkheden van de sector te verbeteren om het hoofd te bieden aan de escalatie van de groei en het vernuft van de aanvallen op webapplicaties.” 

IronBee zal voorzien in:

• State-of-the-art application security inspection engine die nieuwe verwerkingstools en analyse van http-verkeer biedt.
• Apache Software License v2, een non-viral open source licentie die individuen en commerciële organisaties in staat stelt om deel te nemen en communities te creëren van gebruikers en van developers.
• Portability, vanaf de grond opgebouwd om in uiteenlopende multiple deployment modes te werken, zoals passive, embedded, out of process, en reverse proxy.
• Modulaire architectuur, waardoor deelnemers in staat zijn om hun eigen modules gemakkelijk te implementeren zonder dat diepgaande kennis nodig is van de IronBee architectuur. Al naar gelang van de behoeften van de gebruiker is rechttoe-rechtaan packaging mogelijk van configuratie-informatie en modules.
• Community collaboration teneinde de informatie die nodig is voor het verdedigen van webapplicaties vast te leggen, te centraliseren en te delen. 

"Het wordt steeds duidelijker dat, hoe goed we ook zijn in secure programming (SDLC) en ongeacht hoe effectief onze tools voor het scannen van code en voor de analyse van kwetsbaarheden ook zijn, geen van beide methodes kan ons webapplicatie-beveiligingsprobleem oplossen. ‘Shield and Patch’ is het parool. Als we een nieuwe kwetsbaarheid ontdekken, schermen we ons indien mogelijk af met firewalls en andere perimeter-technieken om tijd te winnen teneinde het onderliggende probleem te fixen (patchen). Nee, het werkt niet altijd, en we moeten nog veel vooruitgang boeken, maar het is een fundamenteel gezonde aanpak," zegt Rich Mogull, oprichter of Securosis.^[1]