Web App and API Protection (WAAP) bezieht sich auf einen integrierten Satz von Sicherheitsdiensten, die zusammenwirken und auf diese Weise Sicherheitsrisiken für APIs und Webanwendungen reduzieren.
WAAP-Lösungen schützen vor Anwendungssicherheitsrisiken durch Ausnutzung von Schwachstellen, Bots, automatisierte Angriffe, Denial of Service, Betrug und missbräuchliche Verwendung sowie unsichere API-Integrationen von Drittanbietern.
Integrierte Sicherheitskontrollen ermöglichen es Unternehmen, die Transparenz zu verbessern und verwertbare Erkenntnisse zu gewinnen, die sowohl spezifischen Angriffen Einhalt gebieten als auch koordinierte Bedrohungskampagnen erkennen können, die mehrere Bedrohungsvektoren umfassen.
Kunden mit ansprechenden und sicheren digitalen Erlebnissen zu begeistern, ist ein geschäftlicher Imperativ und Schwerpunkt für Sicherheits- und Risikoverantwortliche. Die Abwägung zwischen Risiko und Nutzen, bei der versucht wird, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen, war noch nie so schwierig, wichtig, aber auch lohnend wie in der heutigen digitalen Wirtschaft.
Eine beispiellose Auswahl, die geringe Toleranz der Kunden gegenüber Verzögerungen oder Ausfällen und die zunehmenden Vorschriften verändern die Perspektive der Sicherheit von einer Kostenstelle zu einem digitalen Wettbewerbsvorteil. Darüber hinaus sind Anwendungen zunehmend dezentralisiert und verteilt, werden in heterogenen und Multi-Cloud-Architekturen eingesetzt und in komplexe Software-Lieferketten und CI/CD-Pipelines integriert.
Abbildung 1: Apps sind zunehmend dezentralisiert und verteilt
Die zunehmende Ausgereiftheit von Bots und automatisierten Angriffen sowie die Verbreitung von API-Endpunkten durch die verstärkte Nutzung mobiler Apps und die moderne App-Entwicklung erweitern die Angriffsfläche dramatisch und führen zu unvorhergesehenen Risiken durch Drittanbieter-Integrationen.
Der Lebenszyklus eines industrialisierten Angriffs beginnt mit der Automatisierung und endet mit der Übernahme von Konten und Betrug.
Abbildung 2: Angriffe auf Anwendungen sind hartnäckig und raffiniert
Eine WAAP-Lösung erweitert den WAF-Einsatz in angrenzende Bereiche, insbesondere Bot-Management, API-Sicherheit und DDoS-Abwehr.
Eine WAF, die in cloudbasierte DDoS-Scrubbing-Zentren integriert ist, wurde in der Vergangenheit als WAAP bezeichnet, unabhängig davon, ob es sich bei der WAF um eine Hardware- oder virtuelle Appliance in einem Rechenzentrum, einer privaten oder öffentlichen Cloud handelt. Der Markt befindet sich jedoch an einem Wendepunkt, an dem viele Unternehmen cloudbasierte WAAP-Plattformen in Form von As-a-Service-Sicherheitslösungen bevorzugen.
Es gibt mehrere Faktoren, die das Interesse an cloudbasierten WAAP-Plattformen steigern:
Appliance-basierte WAFs, die in cloudbasierte, geschäftsbezogene Sicherheitsdienste integriert werden, kommen in stark regulierten Branchen wie dem Finanzwesen weiterhin als praktikable und sogar bevorzugte Option zum Einsatz.
Die am häufigsten erwähnten Kaufkriterien für WAAP sind Effektivität und Benutzerfreundlichkeit.
Eine Best-in-Class-WAAP-Lösung hilft dabei, die Sicherheit synchron mit den Geschäftsanforderungen zu verbessern, Kompromittierungen zu minimieren, ohne dass Verzögerungen oder übermäßige Fehlalarme entstehen, und die betriebliche Komplexität zu reduzieren. Dies schützt Hybrid- und Multi-Cloud-Architekturen konsequent vor kritischen Schwachstellen, Missbrauch der Geschäftslogik und unvorhergesehenen Risiken.
Wichtige Vorteile:
WAAP-Lösungen mindern das Risiko von Kompromittierungen, Datenexfiltrationen, Kontoübernahmen und Anwendungsausfällen, indem sie verschiedene Sicherheitskontrollen zum Schutz von Anwendungen integrieren, darunter:
WAAP-Lösungen sind in verschiedenen Formfaktoren erhältlich:
WAAP-Lösungen umfassen auch clientseitige Sicherheitsvorkehrungen zur Erkennung von bösartigen Skripten bzw. Skimming (z. B. Magecart-Angriffen), Sicherheitskontrollen zur Verhinderung von Angriffen durch bösartige Aggregatoren und einen Kontenschutz, der die Übernahme von Konten durch manuellen Betrug verhindert.
Application Infrastructure Protection (AIP)-Lösungen verstärken den Schutz von Anwendungen durch dynamische Erkennung von Schwachstellen und Cloud-Workload-Sicherheit. Durch die Integration in WAAP-Kontrollen wird die Ausnutzung und missbräuchliche Verwendung der zugrunde liegenden Infrastruktur verhindert.
WAAP-Lösungen von F5 passen nativ in jede Architektur, jede Cloud und jedes Betriebsmodell. Sicherheits- und Risikoteams erhalten damit universelle Transparenz und konsistente Richtliniendurchsetzung zum Schutz von Legacy-Apps und modernen Anwendungen vom Kern über die Cloud bis zum Edge. WAAP-Lösungen von F5 bieten Flexibilität und Wahlmöglichkeiten in Bezug auf das Bereitstellungs- und Betriebsmodell.
F5 Distributed Cloud WAAP bietet eine beispiellose Beobachtbarkeit in Verbindung mit einem großen realen Data Lake und Algorithmen für maschinelles Lernen. F5-Kunden können KI-basierte Mehrwertdienste nutzen, z. B. Authentication Intelligence. Dieser Dienst optimiert legitime Kundentransaktionen durch verbesserte Personalisierung und Beseitigung von Reibungspunkten und erhöht so die Kundenbindung, -konversion und -loyalität.