Anzeige

API

Experten sind sich einig: Cyberkriminelle zielen immer häufiger auf APIs, Application Programming Interfaces, ab. Entwickler, Security- und Operationsteams brauchen deshalb effektivere Tools, um Web-Anwendungen besser zu schützen. Damit dies gelingt, müssen sie jedoch auch den Traffic in Echtzeit überwachen können.

Eine von Fastly und der Enterprise Strategy Group (ESG) durchgeführte Studie zu Web-App- und API-Sicherheit zeigt das Problem unmissverständlich: 82 Prozent der 500 befragten Unternehmen waren in den letzten 12 Monaten erfolgreichen Cyber-Angriffen ausgesetzt, die Mehrheit der Befragten berichteten von durchschnittlich 60 Angriffen pro Jahr. Trotz dieser sehr realen Bedrohung betreiben 91 Prozent der Unternehmen ihre Sicherheitslösungen ausschließlich im Logging oder Monitoring Mode oder schalten diese sogar komplett ab. Denn bei fast der Hälfte (45 Prozent) aller Warnmeldungen handelt es sich um Fehlalarme. Offensichtlich wird durch diese Zahlen, dass viele Security-Tools den aktuellen Bedrohungsszenarien nicht länger standhalten. Sie wurden entwickelt, bevor weltweit dezentrale Web-Anwendungen von ebenso dezentralen Teams aus Developern, Security- und Operations-Experten einem Heer von Cyberkriminellen standhalten mussten.

Hier hilft nur eins: Technologieentscheider müssen die Sicherheitslösungen ihrer Teams aufrüsten. Die Anforderungen: Die Tools müssen in der Lage sein, Angriffe in Echtzeit zu erkennen, um diese effizienter und dynamischer abzuwehren, ohne dabei den gewünschten Traffic zu beeinträchtigen. Sie sollten es außerdem selbst global verteilten Entwickler-, Security- und Operationsteams erleichtern, enger miteinander zu verschmelzen  (DevSecOps), und sie bei immer raffinierteren Angriffsszenarien unterstützen. Dabei sind insbesondere vier Faktoren zu beachten.

1. Cyberkriminelle schneller und automatisch aufspüren

Viele Lösungen zum Schutz von Web-Apps und APIs identifizieren lediglich bekannte Angriffsmuster. Sie scheitern aber oft daran, gefährlichen und seriösen Traffic voneinander zu unterscheiden. Angesichts der mehr als 400.000 neuen Malware-Varianten täglich gehen deshalb einige Teams dazu über, ihre Sicherheitslösungen im Monitoring-Modus laufen zu lassen, obwohl sie eigentlich erst im Blocking-Modus flächendeckenden Schutz für Web-Apps und APIs bieten. So werden zwar nervige Warnmeldungen, Fehlalarme und Störungen beim gewünschten Traffic vermieden. Allerdings muss gleichzeitig in Kauf genommen werden, dass potenziell verdächtiger Traffic nicht schnell genug erkannt werden kann. Es sollte keine Alternative dazu geben, seine Sicherheitslösungen im Blocking-Modus zu betreiben. Deshalb müssen Tools in der Lage sein, automatisch und zuverlässig zu identifizieren, welches Traffic-Verhalten auffällig und welches gutartig ist. Fortschrittliche SaaS, Cloud- sowie Content-Delivery-Dienste stellen mittlerweile Lösungen bereit, die Angriffslagen schneller erkennen und entsprechende Gegenmaßnahmen zügig einleiten können.

2. Bessere Usability fördert Anwendung neuer Lösungen

Viele Sicherheits-Tools für Web-Apps und APIs haben den Nachteil, dass sie nur wenig anwenderfreundlich sind. Selbst bei ein und demselben Anbieter unterscheiden sich oft Nutzeroberflächen und -logiken. Das birgt neue Risiken für eine konsequente Umsetzung von Security-Richtlinien und einer flächendeckenden Anwendung neuer Technologien. Richtig gravierend werden Angriffe vor allem dann, wenn durch unzureichende Tools dezentral arbeitende Teams bei Bedrohungen zu langsam und unkoordiniert handeln. Fortschrittliche Security-Lösungen unterstützen hingegen schnelle Reaktionsfähigkeiten alleine schon durch intuitive und einfach zu bedienende Nutzeroberflächen und ermöglichen damit eine höhere Transparenz über die gesamte Anwendungslandschaft hinweg. Wichtig sind zudem Integrationsmöglichkeiten mit gängigen DevSecOps-Tools wie beispielsweise Jira, PagerDuty, Slack und Splunk. Denn so können sich die jeweiligen Mitarbeiter auf genau den Plattformen über auffällige Aktivitäten informieren und austauschen, auf denen sie täglich aktiv sind.

3. Nur Echtzeitreaktionen sichern Web-Apps und APIs effektiv

Cyberkriminelle denken und arbeiten wie Entwickler. Sie sind in der Lage ihre Angriffe zu variieren und deren Frequenz zu verstärken, bis sie Erfolg haben und eine Lücke finden. Sicherheitsteams brauchen daher die gleiche Reaktionsfähigkeit. Fortschrittliche Lösungen erkennen bereits Angriffsabsichten, ihre Algorithmen arbeiten wie selbstlernende Systeme. Sie analysieren permanent Traffic-Muster und Verhaltensweisen, um neue Angriffsarten zu identifizieren und deren Bedrohungspotenziale abzuschätzen. Dabei leiten sie neue Regeln ab, validieren ihre Reaktionen und wenden diese bei veränderten Traffic-Ereignissen an. Erfolgreich sind sie allerdings nur dann, wenn sie weltweit alle Anwendungen und ihren Traffic simultan und in Echtzeit überwachen können.

4. Dev, Sec und Ops müssen wie Angreifer denken

Genauso wie fortschrittliche Sicherheits-Tools wie Angreifer „denken“ sollten, müssen auch Entwickler, Security- und Operationsteams lernen, das Vorgehen und die kriminelle Energie ihrer Angreifer zu antizipieren. Vor allem sollte die Rolle der Security-Experten intern aufgewertet werden. Statt sie wie früher am Ende der Entwicklungskette von Web-Apps und APIs einzubinden, sollten sie von Anfang an bei jedem Entwicklungsschritt dabei sein. Entscheidungsträger sollten zudem dafür sorgen, dass ihre Security-Mitarbeiter auch bei global verteilten Teams regelmäßig Sicherheitsüberprüfungen durchführen. Denn absolute Sicherheit für Web-Apps und APIs besteht immer nur zum Zeitpunkt der Prüfung. Doch die Lage kann sich stündlich ändern. Deshalb sollten Security-Checks bis zum Ende des Lebenszyklus einer Web-App und ihrer APIs heute zum Standard gehören.

Sean Leach, Chief Product Architect
Sean Leach
Chief Product Architect, Fastly
Sean Leach ist Chief Product Architect bei Fastly, wo er sich auf die Entwicklung und Skalierung von Produkten rund um große, unternehmenskritische Infrastrukturen konzentriert. Zuvor war er VP Technology bei Verisign, wo er für die strategische Ausrichtung sowie die Produkt- und technische Architektur zuständig war und als primärer Unternehmenssprecher fungierte. Sean war zuvor CTO von name.com, sowie Senior Director bei Neustar. Er hat einen Bachelor in Informatik von der University of Delaware. Seine aktuellen Forschungsschwerpunkte sind DNS, DDOS, Web-/Netzwerkleistung, Internet-Infrastruktur und die Bekämpfung der massiven Internet-Sicherheitsepidemie. (Bildquelle: Fastly)

Artikel zu diesem Thema

API-Schwachstellen
Nov 01, 2021

API-Schwachstellen stellen weltweit ein hohes Risiko dar

Akamai Technologies veröffentlicht neue Forschungsergebnisse über die sich wandelnde…
DevSecOps
Okt 26, 2021

DevSecOps in der IT-Sicherheit: Maßnahmen zur Steigerung des Sicherheitsbewusstseins

Durch die Digitalisierung der Gesellschaft gibt es heutzutage zahllose neue Produkte und…
App Programmierung
Feb 08, 2019

Fehlerquellen bei der Web-App Programmierung

Die Entwicklung von Web-Apps hat sich im Laufe der Jahre rasant entwickelt. Zunächst…

Weitere Artikel

Backup

Nachholbedarf bei Backups als Vorsorge für Ransomware-Angriffe

Rubrik hat die Ergebnisse seiner Studie „Immutable back-ups: Separating hype from reality“ bekannt gegeben. Hierzu befragte das Unternehmen 150 IT-Führungskräfte in der EU und Großbritannien zu unveränderlichen Backups vor dem Hintergrund zunehmender…
Hackerangriff

Schutz des IT-Netzwerkes

„An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Ein Hackerangriff? … In seinem Roman „Black Out“ skizziert Marc Elsberg die Folgen einer Manipulation von Endgeräten im Stromnetz, ganz Europa ist ohne…
Cyber Security Schild

Die menschliche Firewall stärken

Zum Anlass des Tages der Computersicherheit am 30. November ein Kommentar Rainer Seidlitz, Leiter Produkt-Management Safety & Security, TÜV SÜD Akademie GmbH.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.