BLOG

Moderne API-Sicherheitsrisiken und -Herausforderungen werden mit Web App and API Protection (WAAP)-Lösungen gelöst

Ian Dinno Miniaturbild
Ian Dinno
Veröffentlicht am 21. Juli 2023

Moderne Apps erfordern erweiterte Funktionen, um ihre gesamte Bedrohungsoberfläche ausreichend zu schützen. Web App Firewalls (WAFs) spielen immer noch eine Rolle, aber mit der Weiterentwicklung von Apps und dem Fortbestand von APIs bedarf es mehr, um die gesamte App-Oberfläche, einschließlich eines wachsenden Netzes von API-Verbindungen, zu überwachen, zu verfolgen und zu sichern.

Einige mögliche Einschränkungen von WAFs bei der Unterstützung der API-Sicherheit

Obwohl WAFs wertvolle Tools für die API-Sicherheit sind, sind nicht alle WAFs gleich und einige weisen beim Schutz von APIs Einschränkungen auf. Zu diesen Einschränkungen könnten gehören:

  • Umgang mit komplexer API-Autorisierung: APIs verwenden häufig komplexere Autorisierungsmechanismen, die über die herkömmliche sitzungsbasierte Authentifizierung in Webanwendungen hinausgehen. WAFs haben möglicherweise Probleme mit der Verarbeitung komplexer Autorisierungsschemata wie OAuth 2.0, JWT (JSON Web Tokens) oder benutzerdefinierter tokenbasierter Authentifizierung.
  • Analysieren von Protokoll- und Payload-Variationen: APIs können verschiedene Protokolle (REST, GraphQL, SOAP) und Nutzlastformate (JSON, XML) mit unterschiedlichen Datenstrukturen und Schemata verwenden. WAFs bieten möglicherweise nur eingeschränkte Unterstützung für die Analyse und Validierung dieser Variationen, was potenziell zu eingeschränkter Sichtbarkeit und mehr falsch positiven oder falsch negativen Ergebnissen bei der Bedrohungserkennung führen kann.
  • Ratenbegrenzung: Die API-Ratenbegrenzung ist entscheidend zum Schutz vor missbräuchlichem Verhalten und einer Erschöpfung der API-Ressourcen. Aufgrund der dynamischen Natur von API-Anfragen und der Anforderung einer Ratenbegrenzung auf Grundlage API-spezifischer Parameter können WAFs Schwierigkeiten bei der genauen Ratenbegrenzung des API-Datenverkehrs haben.
  • Einblicke in API-spezifische Angriffe: APIs sind anfällig für bestimmte Angriffsvektoren wie Parameterverschmutzung, API-spezifische Injektionsangriffe oder API-Missbrauchsszenarien. WAFs verfügen möglicherweise nicht über spezielle Regeln oder Heuristiken, um diese API-spezifischen Angriffe wirksam zu erkennen und abzuwehren.
  • API-Verwaltungsfunktion: Bei WAFs liegt der Schwerpunkt in erster Linie auf Sicherheitsaspekten und es fehlen ihnen möglicherweise die umfassenden API-Verwaltungsfunktionen, die für die API-Governance, Dokumentation, Versionierung und Entwicklerportalfunktionen erforderlich sind.

Erweiterung von WAFs für API-Sicherheit

Es ist wichtig zu beachten, dass WAFs zwar weiterhin der Eckpfeiler der App-Sicherheit und eine grundlegende Ebene zum Schutz von APIs sind, es jedoch noch mehr erforderlich ist. Organisationen erwägen und implementieren aus einer Reihe von Gründen unterschiedliche Ansätze – Kosten, Komplexität, Missverständnisse und Fehleinschätzungen darüber, wie APIs ausreichend gesichert werden können , und mehr. Viele Organisationen erweitern ihre vorhandenen WAFs mit API-Gateways, um ihre APIs zu erstellen, zu verwalten und zu veröffentlichen und gleichzeitig Nutzungsrichtlinien durchzusetzen und den Zugriff zu kontrollieren. Dies ist ein guter Ausgangspunkt, es bleiben jedoch noch viele Lücken in der API-Sicherheitslage.

Und wie geht es weiter? Wie geht man mit unbekannten/Schatten-APIs um? Was ist mit der granularen API-Endpunktsteuerung? Was ist mit APIs von Drittanbietern, über die Sie nicht unbedingt Kontrolle haben? Nehmen wir einfach die Herausforderung mit den unbekannten ... Schatten-APIs an. Dies kann eine Organisation dazu veranlassen, nach einem spezialisierten Tool zur API-Erkennung und Schwachstellenerkennung zu suchen und es in den Mix aufzunehmen, während sie daran arbeitet, alle API-Grundlagen abzudecken.

Erkennen Sie, worauf das hinausläuft? Die Dinge werden sehr schnell sehr komplex. Einige Organisationen mit Budget, Fachwissen und Ressourcen bevorzugen einen Best-of-Breed-Ansatz, doch für die meisten führt das Abdecken der API-Sicherheitsbedrohungsfläche mit einem Flickenteppich verschiedener Lösungen nur dazu, dass eine der größten Sicherheitsherausforderungen – die KOMPLEXITÄT – fortbesteht. Das Hinzufügen weiterer Punktlösungen kann schnell unhaltbar werden, ganz zu schweigen davon, dass eine wirksame Überwachung und Sichtbarkeit dadurch ziemlich schwierig wird.

Wie WAAPs helfen können – Bereitstellung umfassender App- und API-Sicherheit

Geben Sie Lösungen zum Schutz von Webanwendungen und APIs (WAAP) ein. Warum sollten Sie noch mehr unabhängige Technologien, möglicherweise von unterschiedlichen Anbietern, stapeln, deren Erkenntnisse nicht einheitlich mit Ihrem bereits komplexen App-Sicherheitsökosystem korrelieren? Daher die Entwicklung hin zu (und die Entwicklung von) WAAP-Angeboten. Moderne WAAP-Lösungen können einen Teil der Antwort auf die Sicherheitsanforderungen moderner, auf Microservices basierender Multi-Cloud- und Hybrid-App-Umgebungen darstellen, indem sie die Funktionen herkömmlicher WAFs mit speziellen Funktionen kombinieren, die für die Überwachung und Sicherung von APIs von entscheidender Bedeutung sind – alles in einer konsolidierten Lösung (häufig als SaaS bereitgestellt).

Häufige Missverständnisse über WAAPs und ihre Fähigkeit, APIs zu überwachen und zu schützen

Es bestehen Missverständnisse über WAAPs, wonach ihnen die erforderliche Funktionalität für eine umfassende API-Sicherheit fehlt. Zu den Mythen, die Sie vielleicht schon gehört haben, gehört, dass WAAPs APIs nicht über einen längeren Zeitraum überwachen und verfolgen und Anomalien erkennen können, dass ihnen erweiterte Lernfähigkeiten fehlen, um neue und sich ändernde App- und API-Endpunkte zu verfolgen oder dass sie die Absichten der Endbenutzer nicht verfolgen und erkennen können.

Das ist schlicht und ergreifend nicht wahr. Viele moderne WAAP-Lösungen wie F5 Distributed Cloud WAAP werden mit KI/ML-Funktionen entwickelt, die wichtige API-Sicherheitsfunktionen wie automatische API-Erkennung, Schemadurchsetzung, Benutzer- und API-Anomalieerkennung und mehr ermöglichen. Und anders als bei vielen reinen API-Sicherheitsprodukten, die auf Out-of-Band-Analysen basieren, erfolgt die Verkehrsanalyse und Blockierung des App- und API-Verkehrs bei WAAP-Lösungen innerhalb einer einzigen Inline-Lösung. Es besteht keine Notwendigkeit, Daten an eine oder mehrere separate Lösungen zu streamen oder zu spiegeln, was die Analyse, Erkennung und Eindämmung von Bedrohungen verzögern kann.

Um mehr über F5 Distributed Cloud WAAP und seine API-Sicherheitsfunktionen zu erfahren, besuchen Sie unsere Website und sehen Sie sich eine kurze Demo der Lösung in Aktion an.