Glossar: Begriffe und Definitionen zur Cybersicherheit

Was ist OWASP? Einführung in die 10 wichtigsten Schwachstellen und Risiken von OWASP

OWASP ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Softwaresicherheit einsetzt.

OWASP (Open Worldwide Application Security Project) ist eine offene Community, deren Ziel es ist, Organisationen bei der Konzeption, Entwicklung, Beschaffung, Bedienung und Wartung von Software für sichere und vertrauenswürdige Anwendungen zu unterstützen. Zu seinen Programmen gehören von der Community geleitete Open-Source-Softwareprojekte sowie lokale und globale Konferenzen mit Hunderten von Niederlassungen auf der ganzen Welt und Zehntausenden von Mitgliedern.

Warum ist OWASP wichtig?

OWASP spielt eine entscheidende Rolle bei der Sensibilisierung für Sicherheitsrisiken von Web-Anwendungen und bietet wertvolle Ressourcen, Tools, Dokumentationen und Best Practices, um die zunehmenden Herausforderungen der Web-Anwendungssicherheit zu bewältigen. OWASP hilft Entwicklern, Sicherheitsexperten und Organisationen, potenzielle Bedrohungen zu verstehen und bewährte Sicherheitsmethoden zu übernehmen.  

OWASP führt eine Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen sowie wirksame Prozesse, Verfahren und Kontrollen zu deren Eindämmung. OWASP bietet außerdem eine Liste der zehn größten API-Sicherheitsrisiken, um die an der Entwicklung und Wartung von APIs Beteiligten zu schulen und das Bewusstsein für gängige API-Sicherheitslücken zu schärfen.

Die OWASP-Community ermutigt Einzelpersonen und Organisationen, zu ihren Projekten und Ressourcen beizutragen. Dieser kollaborative und umfragebasierte Ansatz ermöglicht es der Community, das kollektive Wissen und die Fachkompetenz ihrer Mitglieder zu nutzen, was zu umfassenden und aktuellen Ressourcen führt.

Sowohl bei Apps als auch bei APIs bestehen Sicherheitsrisiken , die bei der Implementierung von Sicherheitslösungen berücksichtigt werden müssen. Zum Beispiel: 

  • Schwache Authentifizierungs-/Autorisierungskontrollen 
  • Fehlkonfiguration 
  • Missbrauch der Geschäftslogik (Credential Stuffing, Account Takeover)  
  • Serverseitige Anforderungsfälschung (SSRF).

 

Die 10 größten Anwendungssicherheitsrisiken von OWASP

Die OWASP Top 10 sind eine weithin anerkannte Liste der kritischsten Sicherheitsrisiken für Webanwendungen. Die Liste dient Entwicklern, Sicherheitsexperten und Organisationen als Leitfaden bei der Priorisierung ihrer Bemühungen zur Identifizierung und Eindämmung kritischer Sicherheitsrisiken für Web-Anwendungen. 

Das Vorhandensein eines Risikos in der OWASP-Top-10-Liste bedeutet nicht unbedingt, dass es in allen Webanwendungen weit verbreitet ist oder schwerwiegend ist. Zudem sind die Top Ten weder in einer bestimmten Reihenfolge noch nach Priorität angeordnet.  

Die OWASP Top 10 Sicherheitsrisiken für Webanwendungen für 2021 sind:

  1. Defekte Zugriffskontrollen. Diese Sicherheitslücke entsteht, wenn Angreifer durch unzureichende Durchsetzung von Zugriffskontrollen und Autorisierungen unbefugten Zugriff auf Funktionen oder Daten erhalten. Der Grund hierfür können unsichere direkte Objektverweise (IDORs) sein, die entstehen können, wenn es einer Anwendung nicht gelingt, Benutzereingaben zu validieren oder zu autorisieren, die als direkte Referenz auf ein internes Objekt verwendet werden. Dies kann auch an fehlenden Zugriffskontrollen auf Funktionsebene liegen, wenn die Anwendung die Zugriffskontrollen nur in der ersten Authentifizierungs- oder Autorisierungsphase validiert, diese Kontrollen aber nicht konsistent in allen Funktionen oder Vorgängen der Anwendung durchsetzt. Eine Web Application Firewall (WAF) kann zum Schutz vor diesen Angriffen beitragen, indem sie Zugriffskontrollen überwacht und durchsetzt, um unbefugten Zugriff auf vertrauliche Objekte oder Ressourcen zu verhindern.

  2. Kryptografische Fehler. Dieses Risiko entsteht durch den unzureichenden Schutz vertraulicher Daten während der Übertragung und im Ruhezustand. Kryptografische Fehler können zu Datenlecks, unberechtigtem Zugriff auf vertrauliche Informationen und zur Nichteinhaltung von Datenschutzbestimmungen, etwa der EU-Datenschutz-Grundverordnung (DSGVO), und Finanzstandards wie den PCI Data Security Standards (PCI DSS), führen. Diese Fehler können auf unsichere kryptografische Speicherung, Speicherung der Daten im Klartext oder unsichere Schlüsselverwaltung zurückzuführen sein. Das Risiko kann auch aus Informationslecks resultieren, die durch schwache Schlüssel- oder Zufallszahlengenerierung oder durch Fehler in kryptografischen Protokollen verursacht werden können. 
  3. Injektionsangriffe. Injektionsfehler treten auf, wenn Angreifer nicht vertrauenswürdige oder feindselige Daten in Befehls- oder Abfragesprachen einfügen oder wenn vom Benutzer bereitgestellte Daten von der Anwendung nicht validiert, gefiltert oder bereinigt werden, was zur unbeabsichtigten Ausführung bösartiger Befehle führt. Diese Risikokategorie umfasst NoSQL-, OS-Befehls-, LDAP- und SQL-Injection-Angriffe und schließt auch Cross-Site Scripting (XSS) ein , bei dem Angreifer schädliche clientseitige Skripts, wie etwa JavaScript, in Webseiten einschleusen, die von anderen Benutzern angezeigt werden. Dies kann zum Diebstahl vertraulicher Informationen wie Anmeldeinformationen, personenbezogener Daten oder Sitzungscookies führen. Eine WAF kann beim Erkennen und Blockieren von Einschleusungsversuchen bösartigen Codes helfen, indem sie eingehende Anfragen, einschließlich reflektierter (nicht persistenter), gespeicherter (persistenter) und auf Document Object Module (DOM) basierender XSS, prüft und filtert und so verhindert, dass diese die Anwendung erreichen.
  4. Unsicheres Design. Dabei handelt es sich um eine breite Kategorie, die unterschiedliche Schwachstellen darstellt, die sich in fehlenden oder ineffektiven Sicherheitskontrollen und Architekturfehlern äußern. Diese Fehler können auftreten, wenn eine Anwendung auf Prozessen basiert, die grundsätzlich unsicher sind, oder wenn die erforderlichen Sicherheitskontrollen zum Schutz vor bestimmten Angriffen nicht implementiert sind. Diese Risiken können durch eine verstärkte Nutzung von Bedrohungsmodellierung, sicheren Entwurfsmustern und Referenzarchitekturen verringert werden.  
  5. Sicherheitsfehlkonfigurationen. Eine fehlende Sicherheitshärtung in Web-Anwendungs-Frameworks, Plattformen, Servern oder Sicherheitskontrollen kann zu unbefugtem Zugriff, zur Offenlegung vertraulicher Informationen oder anderen Sicherheitslücken führen. Risiken aufgrund von Sicherheitsfehlkonfigurationen können auch durch falsch konfigurierte Berechtigungen für Cloud-Dienste oder die Installation oder Aktivierung unnötiger Funktionen wie ungenutzter Ports, Dienste, Konten oder Berechtigungen entstehen. Eine falsche Konfiguration sowohl von Webanwendungen als auch von APIs stellt ein erhebliches Risiko dar, da die großen Cloud-Anbieter unterschiedliche Standardsicherheitsvorgaben haben und die Architektur zunehmend dezentralisiert und über eine Multi-Cloud-Struktur verteilt wird.    
  6. Anfällige und veraltete Komponenten. Die Verwendung veralteter, ungepatchter oder anfälliger Komponenten wie Bibliotheken, Frameworks oder Plug-Ins kann Anwendungen bekannten Sicherheitslücken aussetzen und so das Risiko einer Ausnutzung erhöhen. Diese Risiken können durch nicht unterstützte oder veraltete Software entstehen, einschließlich Betriebssystem (OS), Web-/Anwendungsserver, Datenbankverwaltungssystem (DBMS), Anwendungen, APIs und aller Komponenten, Laufzeitumgebungen und Bibliotheken. Diese Bedrohungen sind besonders gefährlich, wenn Unternehmen nicht rechtzeitig über risikobasierte Maßnahmen zur Behebung oder Aktualisierung der zugrunde liegenden Plattform, Frameworks und Abhängigkeiten eines Systems verfügen und das System dadurch tage- oder wochenlang unnötig bekannten Risiken ausgesetzt ist. Komplexe Software-Lieferketten und Automatisierung über CI/CD-Pipelines erhöhen das Risiko, anfällige Software in den IT-Stack einzuschleusen. Eine WAF kann als wichtige Notlösung zum Schutz vor der Ausnutzung von Schwachstellen dienen.  
  7. Identifizierungs- und Authentifizierungsfehler. Schwachstellen bei der Authentifizierung, Identitäts- und Sitzungsverwaltung können es Angreifern ermöglichen, Benutzerkonten, Passwörter und Sitzungstoken zu kompromittieren oder eine unsichere Sitzungsverwaltung auszunutzen. Fehler in diesen Bereichen können automatisierte Angriffe wie Credential Stuffing ermöglichen. Die häufigste Quelle dieser Risiken sind Kennwort-bezogene Schwachstellen, da viele Benutzer Kennwörter mehrfach verwenden oder standardmäßige, schwache oder bekannte Kennwörter nutzen. Probleme bei der Sitzungsverwaltung können auch zu authentifizierungsbezogenen Angriffen führen, insbesondere wenn Benutzersitzungen oder Authentifizierungstoken beim Abmelden oder während einer Zeit der Inaktivität nicht ordnungsgemäß ungültig gemacht werden. Angriffe, die Authentifizierungskontrollen umgehen, stellen ein zunehmendes Risiko sowohl für Webanwendungen als auch für APIs dar, wie in den Projekten OWASP Top 10, API Security Top 10 und Automated Threats ausführlich beschrieben wird.  
  8. Fehler bei der Software- und Datenintegrität. Diese Schwachstellen sind auf Anwendungscode und Infrastruktur zurückzuführen, die keinen Schutz vor Integritätsverletzungen von Daten und Software bieten. Dies kann auftreten, wenn eine Anwendung auf Plugins, Bibliotheken oder Module aus nicht vertrauenswürdigen Quellen, Repositories und CDNs angewiesen ist. Dies kann auch bei Softwareupdates, Änderungen vertraulicher Daten und nicht validierten CI/CD-Pipeline-Änderungen auftreten. Angreifer können möglicherweise eigene Updates hochladen, um sie zu verteilen und auf allen Installationen auszuführen. Zu dieser Risikokategorie gehört auch die unsichere Deserialisierung, bei der eine Anwendung nicht vertrauenswürdige serialisierte Daten verwendet, ohne deren Gültigkeit sicherzustellen. Dadurch sind Angriffe wie Remote Code Execution (RCE) und Rechteausweitung möglich. 
  9. Fehler bei der Sicherheitsprotokollierung und -überwachung. Unzureichende Protokollierung und Überwachung können die rechtzeitige Erkennung von Sicherheitsvorfällen und die Reaktion darauf behindern und die Identifizierung und Eindämmung von Angriffen oder nicht autorisierten Aktivitäten erschweren. Dies kann bedeuten, dass überprüfbare Ereignisse wie Anmeldungen, fehlgeschlagene Anmeldungen und Transaktionen mit hohem Wert nicht identifiziert oder protokolliert werden und dass Anwendungen aktive Angriffe nicht in Echtzeit erkennen.  
  10. Serverseitige Anforderungsfälschung (SSRF). Diese Sicherheitslücken treten auf, wenn eine Anwendung die von einem Benutzer eingegebene URL nicht validiert oder bereinigt, bevor sie Daten von einer Remoteressource abruft. Angreifer können diese Schwachstellen ausnutzen, um Anwendungen zum Zugriff auf bösartige Webziele zu zwingen, selbst wenn diese durch eine Firewall oder andere Abwehrmaßnahmen geschützt sind. Solche Angriffe können auch erfolgen, wenn die angegriffene Ressource Vertrauensbeziehungen zu anderen Systemen unterhält, etwa zu einem Cloud-Metadatendienst oder Back-End-APIs. Dadurch könnte ein Angreifer Anfragen an diese vertrauenswürdigen Dienste stellen und vertrauliche Informationen extrahieren oder nicht autorisierte Aktionen ausführen. Um SSRF einzudämmen, entwerfen Sie Systeme für den Zugriff mit geringsten Privilegien und verwenden Sie eine WAF , um die Uniform Resource Identifier (URI)-Parameter in Ihrer Sicherheitsrichtlinie explizit zu definieren und Hosts, die auf sie zugreifen können, zuzulassen/zu verbieten.

Die OWASP Top 10 von 2021 weisen einige neue Kategorien und Namensänderungen gegenüber den vorherigen OWASP Top 10 von 2017 auf. Zu diesen Änderungen gehörten die Integration der Risikobedrohung „XML External Entities“ (XXE) aus dem Jahr 2017 in die Kategorie „Sicherheitsfehlkonfiguration“ von 2021 und das Hinzufügen von „Cross-Site Scripting“ (XSS) aus dem Jahr 2017 zur Kategorie „Injection“ von 2021. Das Risiko „Unsichere Deserialisierung“ aus dem Jahr 2017 ist jetzt Teil der Kategorie „Software- und Datenintegritätsfehler“ von 2021.    

Weitere OWASP-Veröffentlichungen

OWASP sponsert derzeit 293 Projekte, darunter die folgenden 16 OWASP-Flaggschiffprojekte, die einen strategischen Wert für OWASP und die Anwendungssicherheit insgesamt bieten.

  1. Das OWASP Amass-Projekt hat ein Tool entwickelt, das Informationssicherheitsexperten dabei hilft, mithilfe von Open-Source-Techniken zur Informationsbeschaffung und aktiven Aufklärung ein Netzwerk-Mapping von Angriffsflächen durchzuführen und externe Assets zu erkennen. 
  2. Das OWASP Application Security Verification Standard Project (ASVS) bietet eine Grundlage zum Testen technischer Sicherheitskontrollen für Webanwendungen und liefert Entwicklern außerdem eine Liste mit Anforderungen für eine sichere Entwicklung.  
  3. Die OWASP Cheat Sheet-Reihe wurde erstellt, um Anwendungsentwicklern und -verteidigern eine Reihe leicht verständlicher Leitfäden für bewährte Vorgehensweisen bereitzustellen. Anstatt sich auf detaillierte Best Practices zu konzentrieren, die für viele Entwickler und Anwendungen nicht praktikabel sind, sollen hier gute Praktiken bereitgestellt werden, die die Mehrheit der Entwickler tatsächlich umsetzen kann.  
  4. OWASP CycloneDX ist ein umfassender Stücklistenstandard (BOM), der erweiterte Lieferkettenfunktionen zur Reduzierung von Cyberrisiken bereitstellt.   
  5. OWASP Defectdojo ist ein Open-Source-Tool zur Schwachstellenverwaltung, das den Testprozess optimiert, indem es Vorlagen, Berichterstellung, Metriken und grundlegende Self-Service-Tools anbietet. 
  6. OWASP Dependency-Check ist ein Tool zur Software Composition Analysis (SCA), das versucht, öffentlich bekannt gewordene Schwachstellen in den Abhängigkeiten eines Projekts zu erkennen. Dies geschieht, indem ermittelt wird, ob für eine bestimmte Abhängigkeit eine CPE-Kennung (Common Platform Enumeration) vorhanden ist. Wenn ein Fehler gefunden wird, wird ein Bericht mit Links zu den zugehörigen CVEs (Common Vulnerabilities and Exposures)-Einträgen erstellt.   
  7. OWASP Dependency-Track ist eine intelligente Komponentenanalyseplattform, die es Unternehmen ermöglicht, Risiken in der Software-Lieferkette zu erkennen und zu reduzieren.
  8. OWASP Juice Shop ist möglicherweise die modernste und ausgereifteste unsichere Webanwendung, die in Sicherheitsschulungen, Sensibilisierungsdemos, Capture-the-Flag-Wettbewerben und als Versuchskaninchen für Sicherheitstools verwendet wird. Juice Shop umfasst Schwachstellen aus der gesamten OWASP Top Ten sowie viele andere Sicherheitslücken, die in realen Anwendungen gefunden wurden.   
  9. OWASP Mobile Application Security ist das Vorzeigeprojekt von OWASP zur Bereitstellung eines Sicherheitsstandards für mobile Apps. Es enthält außerdem einen umfassenden Testleitfaden, der die Prozesse, Techniken und Werkzeuge abdeckt, die bei Sicherheitstests für mobile Apps verwendet werden, sowie einen umfassenden Satz von Testfällen, der es den Testern ermöglicht, konsistente und vollständige Ergebnisse zu liefern. 
  10. OWASP ModSecurity Core Rule Set, ein Satz allgemeiner Angriffserkennungsregeln zur Verwendung mit ModSecurity oder kompatiblen Web Application Firewalls. Ziel des CRS ist es, Web-Anwendungen mit einem Minimum an Fehlalarmen vor einer breiten Palette von Angriffen, einschließlich der OWASP Top Ten, zu schützen.   
  11. OWASP-Projekt OWTF (Offensive Web Testing Framework), ein Open-Source-Framework für Penetrationstests von Webanwendungen, das zum Bewerten und Testen der Sicherheit von Webanwendungen entwickelt wurde. Das Hauptziel von OWTF besteht darin, Sicherheitsexperten und Penetrationstestern dabei zu helfen, den Prozess der Bewertung und Prüfung von Webanwendungen auf Schwachstellen zu automatisieren, sodass sie Sicherheitslücken effektiver identifizieren und beheben können.
  12. OWASP SAMM (Software Assurance Maturity Model), Es bietet eine effektive und messbare Möglichkeit zur Analyse und Verbesserung der sicheren Modellierung des Entwicklungslebenszyklus . SAMM unterstützt den gesamten Software-Lebenszyklus und ist technologie- und prozessunabhängig .  
  13. OWASP Security Knowledge Framework ist eine Webanwendung, die die Prinzipien der sicheren Codierung in mehreren Programmiersprachen erklärt und Entwicklern dabei helfen soll, von Grund auf sichere Anwendungen zu erstellen.  
  14. OWASP Security Shepherd ist eine Schulungsplattform zur Sicherheit von Web- und Mobilanwendungen, die das Sicherheitsbewusstsein einer Zielgruppe mit unterschiedlichen Qualifikationen fördern und verbessern soll. Das Ziel dieses Projekts besteht darin, AppSec-Neulingen und erfahrenen Ingenieuren die nötigen Penetrationstest-Kenntnisse zu vermitteln und sie auf den Status eines Sicherheitsexperten auszuweiten.   
  15. OWASP Web Security Testing Guide , ein umfassender Leitfaden zum Testen der Sicherheit von Webanwendungen und Webdiensten. Es bietet einen Rahmen bewährter Methoden, die von Penetrationstestern und Organisationen auf der ganzen Welt verwendet werden.
  16. OWASP ZAP ist ein Tool zum Testen der Sicherheit von Webanwendungen, das Sicherheitsexperten und Entwicklern dabei helfen soll, Sicherheitslücken in Webanwendungen während der Entwicklungs- und Testphase zu erkennen und zu beheben.   

Argumente für integrierte Sicherheitskontrollen

OWASP spielt eine entscheidende Rolle im fortwährenden Bestreben, die Softwaresicherheit zu verbessern, indem es das Bewusstsein für Sicherheitsrisiken von Webanwendungen schärft und sich bei Entwicklern, Sicherheitsexperten und Organisationen für Best Practices einsetzt. Als Community-gesteuertes Projekt bringt OWASP Experten und Enthusiasten zusammen, um gemeinsam an der Verbesserung der Sicherheit von Web-Anwendungen zu arbeiten und zum Aufbau einer sicherheitsbewussten Kultur beizutragen, die sichere Codierungspraktiken und sichere Entwicklungsmethoden fördert.

Darüber hinaus bietet OWASP zahlreiche kostenlose und Open-Source-Tools, Dokumente und Ressourcen, die es Unternehmen ermöglichen, ihre Sicherheitslage zu verbessern, darunter die OWASP Top 10, die OWASP API Security Top 10 und das Automated Threats to Web Applications Project. Zu den weiteren OWASP-Initiativen gehören:

  • Das OWASP Bug Logging Tool (BLT) ermöglicht Internetnutzern, alle online auftretenden Probleme zu melden und zur Verbesserung der Internetsicherheit beizutragen, indem es eine verantwortungsvolle Offenlegung fördert und eine sicherere Online-Umgebung schafft. 
  • Der OWASP CSRFGuard, eine Bibliothek, die Webanwendungen vor Cross-Site Request Forgery (CSRF)-Angriffen schützt.
  • Eine Reihe von Repositories auf GitHub , einschließlich der Cheat Sheet Series, die eine kompakte Sammlung wichtiger Informationen zu bestimmten Anwendungssicherheitsthemen bietet. 
  • OWASP Top 10 der clientseitigen Sicherheitsrisiken, eine Zusammenstellung spezifischer Schwachstellen, die bei browserseitigen Anwendungen häufig auftreten. 
  • OWASP Cloud-Native Application Security Top 10, ein noch in der Entwicklung befindliches Projekt, das Informationen zu den größten Sicherheitsrisiken für Cloud-native-Anwendungen, den damit verbundenen Herausforderungen und deren Überwindung bietet. 

Engagieren Sie sich, indem Sie Mitglied bei OWASP werden oder an einem Treffen eines Ortsverbands teilnehmen. Die Treffen sind kostenlos und sowohl für Mitglieder als auch für Nichtmitglieder offen. Darüber hinaus veranstaltet OWASP jedes Jahr fast ein Dutzend globale und regionale Events , die großartige Gelegenheiten bieten, Ihre beruflichen Fähigkeiten zu verbessern, Ihr berufliches Netzwerk aufzubauen und sich über neue Trends in der Branche zu informieren.

F5 behebt OWASP-Sicherheitsrisiken

F5 unterstützt die OWASP Foundation und ihr Engagement, die Softwaresicherheit zu verbessern und das Bewusstsein für Sicherheitsrisiken und Schwachstellen von Webanwendungen zu schärfen. Die Web Application Firewall-Lösungen von F5 blockieren und mindern ein breites Spektrum an Risiken aus den OWASP Top 10 .

F5 WAF-Lösungen kombinieren Signatur- und Verhaltensschutz, einschließlich Bedrohungsinformationen von F5 Labs und ML-basierter Sicherheit, um mit neuen Bedrohungen Schritt zu halten. Es verringert den Aufwand und die Komplexität der konsistenten Sicherung von Anwendungen in Clouds, lokalen Umgebungen und Edge-Umgebungen und vereinfacht gleichzeitig die Verwaltung über eine zentralisierte SaaS-Infrastruktur. F5 WAFs optimieren außerdem die App-Sicherheit, indem sie Schutzmaßnahmen in Entwicklungsframeworks und CI/CD-Pipelines mit zentralen Sicherheitsfunktionen, zentraler Orchestrierung und Überwachung über ein einziges Dashboard mit einer 360-Grad-Ansicht der App-Leistung und Sicherheitsereignisse über verteilte Anwendungen hinweg integrieren. 

F5 begegnet außerdem den in den OWASP API Security Top 10 identifizierten Risiken mit Lösungen, die die wachsende Angriffsfläche und neu auftretenden Bedrohungen schützen , während sich Apps weiterentwickeln und die Zahl der API-Bereitstellungen zunimmt. Die WAAP-Lösungen (Web Application and API Protection) von F5 schützen die gesamte Angriffsfläche moderner Apps mit umfassenden Schutzmechanismen, darunter WAF, API-Sicherheit , L3-L7-DDoS-Minderung sowie Bot-Abwehr gegen automatisierte Bedrohungen und Betrug. Mithilfe der verteilten Plattform können Sie ganz einfach einheitliche Richtlinien implementieren und die Sicherheit für Ihren gesamten App- und API-Bestand skalieren, unabhängig davon, wo diese gehostet werden. Zudem können Sie die Sicherheit in den API-Lebenszyklus und umfassendere Ökosysteme integrieren.

F5 bietet außerdem Lösungen zum Umgang mit den im OWASP-Projekt „Automated Threats to Web Applications“ beschriebenen Risiken. F5 Distributed Cloud Bot Defense verhindert Betrug und Missbrauch, die vorhandene Bot-Management-Lösungen umgehen können, und bietet Echtzeitüberwachung und -informationen sowie ML-basierte Retrospektivanalysen, um Unternehmen vor automatisierten Angriffen zu schützen, ohne Reibungsverluste für den Benutzer zu verursachen oder das Kundenerlebnis zu beeinträchtigen. Die Wirksamkeit von Distributed Cloud Bot Defense bleibt unabhängig davon bestehen, wie die Angreifer ihre Werkzeuge umstellen, ob die Angriffe von Webanwendungen auf APIs verlagert werden oder ob sie versuchen, Abwehrmaßnahmen gegen die Automatisierung durch Fälschung der Telemetrie oder den Einsatz menschlicher CAPTCHA-Löser zu umgehen.

F5 bietet außerdem mehrstufigen DDoS-Schutz für erweiterte Online-Sicherheit als verwalteten, über die Cloud bereitgestellten Abwehrdienst an, der groß angelegte, auf Netzwerke, Protokolle und Anwendungen ausgerichtete Angriffe in Echtzeit erkennt und abwehrt; die gleichen Schutzfunktionen sind auch als Hardware-, Software- und Hybridlösungen vor Ort verfügbar. F5 Distributed Cloud DDoS Mitigation schützt vor volumetrischen und anwendungsspezifischen Angriffen der Schichten 3–4 und erweiterten Angriffen der Schicht 7, bevor diese Ihre Netzwerkinfrastruktur und Anwendungen erreichen.