Was ist Web App and API Protection?

Web App and API Protection (WAAP) bezieht sich auf einen integrierten Satz von Sicherheitsdiensten, die zusammenwirken und auf diese Weise Sicherheitsrisiken für APIs und Webanwendungen entschärfen.

WAAP-Lösungen schützen vor Anwendungssicherheitsrisiken durch Ausnutzung von Schwachstellen, Bots, automatisierte Angriffe, Denial of Service, Betrug und missbräuchliche Verwendung sowie unsichere API-Integrationen von Drittanbietern.

Integrierte Sicherheitskontrollen ermöglichen es Unternehmen, die Transparenz zu verbessern und verwertbare Erkenntnisse zu gewinnen, die sowohl spezifischen Angriffen Einhalt gebieten als auch koordinierte Bedrohungskampagnen erkennen können, die mehrere Bedrohungsvektoren umfassen.

Warum ist Web App and API Protection so wichtig?

Kunden mit ansprechenden und sicheren digitalen Erlebnissen zu begeistern, ist ein geschäftlicher Imperativ und Schwerpunkt für Sicherheits- und Risikoverantwortliche. Die Abwägung zwischen Risiko und Nutzen, bei der versucht wird, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen, war noch nie so schwierig, wichtig, aber auch lohnend wie in der modernen digitalen Wirtschaft von heute.

Eine beispiellose Auswahl, die geringe Toleranz der Kunden gegenüber Reibungspunkten oder Ausfällen und die zunehmenden regulatorischen Auswirkungen verändern die Perspektive der Sicherheit von einer Kostenstelle zu einem digitalen Wettbewerbsvorteil. Darüber hinaus sind Anwendungen zunehmend dezentralisiert und verteilt, werden in heterogenen und Multi-Cloud-Architekturen eingesetzt und in komplexe Software-Lieferketten und CI/CD-Pipelines integriert.

WAAP-Diagramm 1

Abbildung 1: Apps sind zunehmend dezentralisiert und verteilt

Die zunehmende Ausgereiftheit von Bots und automatisierten Angriffen sowie die Verbreitung von API-Endpunkten durch die verstärkte Nutzung mobiler Apps und die moderne App-Entwicklung erweitern die Angriffsfläche dramatisch und führen zu unvorhergesehenen Risiken durch Drittanbieter-Integrationen.

Der Lebenszyklus eines industrialisierten Angriffs beginnt mit der Automatisierung und endet mit der Übernahme von Konten und Betrug.

WAAP-Diagramm 1

Abbildung 2: Angriffe auf Anwendungen sind hartnäckig und raffiniert

Eine WAAP-Lösung repräsentiert die Ausdehnung des WAF-Marktes in angrenzende Bereiche, insbesondere jene des Managements von Bots, der API-Sicherheit und der DDoS-Abwehr.

Eine WAF, die in cloudbasierte DDoS-Scrubbing-Zentren integriert ist, wurde in der Vergangenheit als WAAP bezeichnet, unabhängig davon, ob es sich bei der WAF um eine Hardware- oder virtuelle Appliance in einem Rechenzentrum, einer privaten oder öffentlichen Cloud handelt. Der Markt befindet sich jedoch an einem Wendepunkt, an dem viele Unternehmen cloudbasierte WAAP-Plattformen in Form von As-a-Service-Sicherheitslösungen bevorzugen.

Es gibt mehrere Faktoren, die das Interesse an cloudbasierten WAAP-Plattformen steigern:

Der Bedarf an speziellen Bot Management-Technologien zur Bekämpfung von Betrug und missbräuchlicher Verwendung
API-Erkennungs- und Durchsetzungskontrollen, die das Risiko, das von Drittanbieter-Integrationen ausgeht, mindern können
Kontinuierliche Richtlinienpflege über APIs, Entwicklungs-Frameworks und CI/CD-Pipelines
Automatisierte Schutzmaßnahmen und Beseitigung von Fehlalarmen mithilfe von künstlicher Intelligenz, die vom Menschen gesteuert wird

Appliance-basierte WAFs, die in cloudbasierte Sicherheitsdienste integriert werden, die sich auf Geschäftsergebnisse konzentrieren, werden in stark regulierten Branchen wie dem Banken- und Finanzdienstleistungssektor (BFSI) weiterhin praktikable und sogar bevorzugte Optionen sein.

Wie funktioniert Web App and API Protection?

WAAP-Lösungen mindern das Risiko von Kompromittierungen, Datenexfiltrationen, Kontoübernahmen und Anwendungsausfällen, indem sie verschiedene Sicherheitskontrollen zum Schutz von Anwendungen integrieren, darunter:

Webanwendungs-Firewall (WAF)
Bot Management
API-Sicherheit
DDoS-Abwehr

WAAP-Lösungen sind in verschiedenen Formfaktoren erhältlich:

Physische/virtuelle WAF-Appliances, die sich in cloudbasierte Sicherheitsdienste integrieren lassen
Microservices-basierte WAF-Instanzen, die sich in cloudbasierte Sicherheitsdienste integrieren lassen
Cloudbasierte WAAP-Plattformen mit integrierten WAF-, Bot-, API- und DDoS-Sicherheitskontrollen

WAAP-Lösungen umfassen auch clientseitige Sicherheitsvorkehrungen zur Erkennung von bösartigen Skripten bzw. Skimming (z. B. Magecart-Angriffen), Sicherheitskontrollen zur Verhinderung von Angriffen durch bösartige Aggregatoren und einen Kontenschutz, der die Übernahme von Konten durch manuellen Betrug verhindert.

Application Infrastructure Protection (AIP)-Lösungen verstärken die Sicherheit von Anwendungen und schaffen Abhilfe durch dynamische Sicherheitslückenerkennung und Cloud-Workload-Sicherheit. Durch die Integration in WAAP-Kontrollen wird die Ausnutzung und missbräuchliche Verwendung der zugrunde liegenden Infrastruktur verhindert.

Wie wird Web App and API Protection bei F5 gehandhabt?

F5 Distributed Cloud WAAP passt von Haus aus in jede Architektur, jede Cloud und jedes Betriebsmodell und bietet den Sicherheits- und Risikoteams universelle Transparenz und konsistente Richtliniendurchsetzung zum Schutz von Legacy-Apps und modernen Anwendungen vom Kern über die Cloud bis zum Rand. Distributed Cloud WAAP-Lösungen bieten Flexibilität und Wahlmöglichkeiten in Bezug auf das Bereitstellungs- und Betriebsmodell.

Eine beispiellose Beobachtbarkeit in Verbindung mit einem großen realen Datenspeicher und Algorithmen für maschinelles Lernen ermöglicht es F5-Kunden, KI-basierte Mehrwertdienste (VAS) zu nutzen, z. B. den Dienst Authentication Intelligence, der legitime Kundentransaktionen durch verbesserte Personalisierung und Beseitigung von Reibungspunkten optimiert und so die Kundenbindung, Konversion und Loyalität erhöht.

Abbildung 3: F5 Distributed Cloud Web App and API Protection-Plattform