Moderne API-Sicherheitsrisiken und -Herausforderungen werden mit Web App and API Protection (WAAP)-Lösungen gelöst

Obwohl WAFs wertvolle Tools für die API-Sicherheit sind, sind nicht alle WAFs gleich und einige weisen beim Schutz von APIs Einschränkungen auf. Zu diesen Einschränkungen könnten gehören:

• Umgang mit komplexer API-Autorisierung: APIs verwenden häufig komplexere Autorisierungsmechanismen, die über die herkömmliche sitzungsbasierte Authentifizierung in Webanwendungen hinausgehen. WAFs haben möglicherweise Probleme mit der Verarbeitung komplexer Autorisierungsschemata wie OAuth 2.0, JWT (JSON Web Tokens) oder benutzerdefinierter tokenbasierter Authentifizierung.
• Analysieren von Protokoll- und Payload-Variationen: APIs können verschiedene Protokolle (REST, GraphQL, SOAP) und Nutzlastformate (JSON, XML) mit unterschiedlichen Datenstrukturen und Schemata verwenden. WAFs bieten möglicherweise nur eingeschränkte Unterstützung für die Analyse und Validierung dieser Variationen, was potenziell zu eingeschränkter Sichtbarkeit und mehr falsch positiven oder falsch negativen Ergebnissen bei der Bedrohungserkennung führen kann.
• Ratenbegrenzung: Die API-Ratenbegrenzung ist entscheidend zum Schutz vor missbräuchlichem Verhalten und einer Erschöpfung der API-Ressourcen. Aufgrund der dynamischen Natur von API-Anfragen und der Anforderung einer Ratenbegrenzung auf Grundlage API-spezifischer Parameter können WAFs Schwierigkeiten bei der genauen Ratenbegrenzung des API-Datenverkehrs haben.
• Einblicke in API-spezifische Angriffe: APIs sind anfällig für bestimmte Angriffsvektoren wie Parameterverschmutzung, API-spezifische Injektionsangriffe oder API-Missbrauchsszenarien. WAFs verfügen möglicherweise nicht über spezielle Regeln oder Heuristiken, um diese API-spezifischen Angriffe wirksam zu erkennen und abzuwehren.
• API-Verwaltungsfunktion: Bei WAFs liegt der Schwerpunkt in erster Linie auf Sicherheitsaspekten und es fehlen ihnen möglicherweise die umfassenden API-Verwaltungsfunktionen, die für die API-Governance, Dokumentation, Versionierung und Entwicklerportalfunktionen erforderlich sind.

Es ist wichtig zu beachten, dass WAFs zwar weiterhin der Eckpfeiler der App-Sicherheit und eine grundlegende Ebene zum Schutz von APIs sind, es jedoch noch mehr erforderlich ist. Organisationen erwägen und implementieren aus einer Reihe von Gründen unterschiedliche Ansätze – Kosten, Komplexität, Missverständnisse und Fehleinschätzungen darüber, wie APIs ausreichend gesichert werden können , und mehr. Viele Organisationen erweitern ihre vorhandenen WAFs mit API-Gateways, um ihre APIs zu erstellen, zu verwalten und zu veröffentlichen und gleichzeitig Nutzungsrichtlinien durchzusetzen und den Zugriff zu kontrollieren. Dies ist ein guter Ausgangspunkt, es bleiben jedoch noch viele Lücken in der API-Sicherheitslage.

Und wie geht es weiter? Wie geht man mit unbekannten/Schatten-APIs um? Was ist mit der granularen API-Endpunktsteuerung? Was ist mit APIs von Drittanbietern, über die Sie nicht unbedingt Kontrolle haben? Nehmen wir einfach die Herausforderung mit den unbekannten ... Schatten-APIs an. Dies kann eine Organisation dazu veranlassen, nach einem spezialisierten Tool zur API-Erkennung und Schwachstellenerkennung zu suchen und es in den Mix aufzunehmen, während sie daran arbeitet, alle API-Grundlagen abzudecken.

Erkennen Sie, worauf das hinausläuft? Die Dinge werden sehr schnell sehr komplex. Einige Organisationen mit Budget, Fachwissen und Ressourcen bevorzugen einen Best-of-Breed-Ansatz, doch für die meisten führt das Abdecken der API-Sicherheitsbedrohungsfläche mit einem Flickenteppich verschiedener Lösungen nur dazu, dass eine der größten Sicherheitsherausforderungen – die KOMPLEXITÄT – fortbesteht. Das Hinzufügen weiterer Punktlösungen kann schnell unhaltbar werden, ganz zu schweigen davon, dass eine wirksame Überwachung und Sichtbarkeit dadurch ziemlich schwierig wird.

Geben Sie Lösungen zum Schutz von Webanwendungen und APIs (WAAP) ein. Warum sollten Sie noch mehr unabhängige Technologien, möglicherweise von unterschiedlichen Anbietern, stapeln, deren Erkenntnisse nicht einheitlich mit Ihrem bereits komplexen App-Sicherheitsökosystem korrelieren? Daher die Entwicklung hin zu (und die Entwicklung von) WAAP-Angeboten. Moderne WAAP-Lösungen können einen Teil der Antwort auf die Sicherheitsanforderungen moderner, auf Microservices basierender Multi-Cloud- und Hybrid-App-Umgebungen darstellen, indem sie die Funktionen herkömmlicher WAFs mit speziellen Funktionen kombinieren, die für die Überwachung und Sicherung von APIs von entscheidender Bedeutung sind – alles in einer konsolidierten Lösung (häufig als SaaS bereitgestellt).