App Security

Web-Anwendungen und ihre APIs effektiver absichern

Experten sind sich einig: Cyberkriminelle zielen immer häufiger auf APIs, Application Programming Interfaces, ab. Entwickler, Security- und Operationsteams brauchen deshalb effektivere Tools, um Web-Anwendungen besser zu schützen. Damit dies gelingt, müssen sie jedoch auch den Traffic in Echtzeit überwachen können.

Eine von Fastly und der Enterprise Strategy Group (ESG) durchgeführte Studie zu Web-App- und API-Sicherheit zeigt das Problem unmissverständlich: 82 Prozent der 500 befragten Unternehmen waren in den letzten 12 Monaten erfolgreichen Cyber-Angriffen ausgesetzt, die Mehrheit der Befragten berichteten von durchschnittlich 60 Angriffen pro Jahr. Trotz dieser sehr realen Bedrohung betreiben 91 Prozent der Unternehmen ihre Sicherheitslösungen ausschließlich im Logging oder Monitoring Mode oder schalten diese sogar komplett ab. Denn bei fast der Hälfte (45 Prozent) aller Warnmeldungen handelt es sich um Fehlalarme. Offensichtlich wird durch diese Zahlen, dass viele Security-Tools den aktuellen Bedrohungsszenarien nicht länger standhalten. Sie wurden entwickelt, bevor weltweit dezentrale Web-Anwendungen von ebenso dezentralen Teams aus Developern, Security- und Operations-Experten einem Heer von Cyberkriminellen standhalten mussten.

Anzeige

Hier hilft nur eins: Technologieentscheider müssen die Sicherheitslösungen ihrer Teams aufrüsten. Die Anforderungen: Die Tools müssen in der Lage sein, Angriffe in Echtzeit zu erkennen, um diese effizienter und dynamischer abzuwehren, ohne dabei den gewünschten Traffic zu beeinträchtigen. Sie sollten es außerdem selbst global verteilten Entwickler-, Security- und Operationsteams erleichtern, enger miteinander zu verschmelzen  (DevSecOps), und sie bei immer raffinierteren Angriffsszenarien unterstützen. Dabei sind insbesondere vier Faktoren zu beachten.

1. Cyberkriminelle schneller und automatisch aufspüren

Viele Lösungen zum Schutz von Web-Apps und APIs identifizieren lediglich bekannte Angriffsmuster. Sie scheitern aber oft daran, gefährlichen und seriösen Traffic voneinander zu unterscheiden. Angesichts der mehr als 400.000 neuen Malware-Varianten täglich gehen deshalb einige Teams dazu über, ihre Sicherheitslösungen im Monitoring-Modus laufen zu lassen, obwohl sie eigentlich erst im Blocking-Modus flächendeckenden Schutz für Web-Apps und APIs bieten. So werden zwar nervige Warnmeldungen, Fehlalarme und Störungen beim gewünschten Traffic vermieden. Allerdings muss gleichzeitig in Kauf genommen werden, dass potenziell verdächtiger Traffic nicht schnell genug erkannt werden kann. Es sollte keine Alternative dazu geben, seine Sicherheitslösungen im Blocking-Modus zu betreiben. Deshalb müssen Tools in der Lage sein, automatisch und zuverlässig zu identifizieren, welches Traffic-Verhalten auffällig und welches gutartig ist. Fortschrittliche SaaS, Cloud- sowie Content-Delivery-Dienste stellen mittlerweile Lösungen bereit, die Angriffslagen schneller erkennen und entsprechende Gegenmaßnahmen zügig einleiten können.

2. Bessere Usability fördert Anwendung neuer Lösungen

Viele Sicherheits-Tools für Web-Apps und APIs haben den Nachteil, dass sie nur wenig anwenderfreundlich sind. Selbst bei ein und demselben Anbieter unterscheiden sich oft Nutzeroberflächen und -logiken. Das birgt neue Risiken für eine konsequente Umsetzung von Security-Richtlinien und einer flächendeckenden Anwendung neuer Technologien. Richtig gravierend werden Angriffe vor allem dann, wenn durch unzureichende Tools dezentral arbeitende Teams bei Bedrohungen zu langsam und unkoordiniert handeln. Fortschrittliche Security-Lösungen unterstützen hingegen schnelle Reaktionsfähigkeiten alleine schon durch intuitive und einfach zu bedienende Nutzeroberflächen und ermöglichen damit eine höhere Transparenz über die gesamte Anwendungslandschaft hinweg. Wichtig sind zudem Integrationsmöglichkeiten mit gängigen DevSecOps-Tools wie beispielsweise Jira, PagerDuty, Slack und Splunk. Denn so können sich die jeweiligen Mitarbeiter auf genau den Plattformen über auffällige Aktivitäten informieren und austauschen, auf denen sie täglich aktiv sind.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Nur Echtzeitreaktionen sichern Web-Apps und APIs effektiv

Cyberkriminelle denken und arbeiten wie Entwickler. Sie sind in der Lage ihre Angriffe zu variieren und deren Frequenz zu verstärken, bis sie Erfolg haben und eine Lücke finden. Sicherheitsteams brauchen daher die gleiche Reaktionsfähigkeit. Fortschrittliche Lösungen erkennen bereits Angriffsabsichten, ihre Algorithmen arbeiten wie selbstlernende Systeme. Sie analysieren permanent Traffic-Muster und Verhaltensweisen, um neue Angriffsarten zu identifizieren und deren Bedrohungspotenziale abzuschätzen. Dabei leiten sie neue Regeln ab, validieren ihre Reaktionen und wenden diese bei veränderten Traffic-Ereignissen an. Erfolgreich sind sie allerdings nur dann, wenn sie weltweit alle Anwendungen und ihren Traffic simultan und in Echtzeit überwachen können.

4. Dev, Sec und Ops müssen wie Angreifer denken

Genauso wie fortschrittliche Sicherheits-Tools wie Angreifer „denken“ sollten, müssen auch Entwickler, Security- und Operationsteams lernen, das Vorgehen und die kriminelle Energie ihrer Angreifer zu antizipieren. Vor allem sollte die Rolle der Security-Experten intern aufgewertet werden. Statt sie wie früher am Ende der Entwicklungskette von Web-Apps und APIs einzubinden, sollten sie von Anfang an bei jedem Entwicklungsschritt dabei sein. Entscheidungsträger sollten zudem dafür sorgen, dass ihre Security-Mitarbeiter auch bei global verteilten Teams regelmäßig Sicherheitsüberprüfungen durchführen. Denn absolute Sicherheit für Web-Apps und APIs besteht immer nur zum Zeitpunkt der Prüfung. Doch die Lage kann sich stündlich ändern. Deshalb sollten Security-Checks bis zum Ende des Lebenszyklus einer Web-App und ihrer APIs heute zum Standard gehören.

Sean

Leach

Chief Product Architect

Fastly

Sean Leach ist Chief Product Architect bei Fastly, wo er sich auf die Entwicklung und Skalierung von Produkten rund um große, unternehmenskritische Infrastrukturen konzentriert. Zuvor war er VP Technology bei Verisign, wo er für die strategische Ausrichtung sowie die Produkt- und technische Architektur zuständig war und als primärer Unternehmenssprecher
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.