Infografik zu den Top 3 der bewährten Methoden zur API-Sicherheit

EINFÜHRUNG

Für Unternehmen, die in der neuen digitalen Wirtschaft erfolgreich sein wollen, reicht der Status quo einfach nicht aus. Herkömmliche Sicherheitskontrollen sind statisch und unflexibel. Sie wurden in der Zeit der Client-/Server-Kommunikation mit vorhersehbaren Benutzerreisen und Verkehrsflüssen entwickelt, lange bevor APIs allgegenwärtig wurden und zum Eckpfeiler der heutigen digitalen Erlebnisse wurden.

Zwar haben die Bemühungen, die Sicherheit durch die Einführung von Zero-Trust-, Least-Privilege-Zugriffs- und Authentifizierungs-/Autorisierungsprinzipien zu modernisieren, Früchte getragen, doch die Spielregeln haben sich geändert. Die Spieler im Anwendungsspiel, die Sie anfeuern, indem sie Transaktionen über Ihre digitalen Eigenschaften durchführen, sind keine Benutzer im herkömmlichen Sinne mehr. Bei diesen „Benutzern“ handelt es sich zunehmend um Geschäftslogikaufrufe von APIs, die sowohl von Partnern oder Ökosystemintegrationen als auch von Kunden oder Interessenten stammen können. Die Bedeutung von APIs bedeutet jedoch auch, dass sie für Angreifer ein viel größeres Ziel darstellen.

Unternehmen, die überleben wollen, müssen ihre APIs sichern und unbeabsichtigte und unvorhergesehene Risiken in einer verteilten und sich ständig verändernden digitalen Struktur mindern – einer Struktur, die das Rechenzentrum, private/öffentliche Clouds und die Peripherie umfasst. Unternehmen, die erfolgreich sein wollen, sollten ihre strategischen Bemühungen auf einige Schlüsselbereiche konzentrieren, um eine vorhersehbare, skalierbare und selbstschützende API-Sicherheitsplattform zu schaffen, die digitale Kontaktpunkte in Hybrid- und Multi-Cloud-Umgebungen schützt.

Traditionelle versus moderne Sicherheit

Herkömmliche Sicherheitskontrollen sind weit verbreitet und werden von Organisationen weltweit verwendet, um Geschäftsgeheimnisse und Kundendaten zu schützen. Unternehmen setzen Datenverkehrsprüfungen ein, um die Privatsphäre zu schützen und Datendiebstahl zu verhindern, indem sie den Zugriff auf vertrauliche Informationen einschränken. Sicherheitskontrollen wie die Ratenbegrenzung in API-Gateways tragen dazu bei, Denial-of-Service-Angriffe (DoS) abzuschwächen. Und Web-Scraping-Kontrollen in Web Application Firewalls (WAFs) verhindern die Gefährdung vertraulicher Informationen, wie etwa Preise. Darüber hinaus verwenden Unternehmen häufig eine Kombination aus Sicherheitstools, etwa statische Codeanalyse und dynamische Anwendungssicherheitstests, um viele gängige Risiken, wie beispielsweise die in den OWASP Top 10, zu bewältigen.

Doch in der heutigen digitalen Welt reichen herkömmliche Sicherheitsmaßnahmen nicht mehr aus. Aus diesem Grund setzen so viele Organisationen moderne Sicherheitskontrollen wie Authentifizierung (AuthN), Autorisierung (AuthZ) und dynamische Verkehrsprüfung für ihre verteilten Anwendungen ein.

Organisationen verwenden Multi-Faktor-Authentifizierung, Public-Key-Zertifikate, Biometrie und andere Methoden, um die Identität von Personen und Geräten zu bestätigen und sicherzustellen, dass nur legitime Benutzer und vertrauenswürdige Maschinen auf ihre Daten zugreifen können. Bei der Autorisierung geht es lediglich darum, authentifizierten Benutzern die entsprechenden Berechtigungen zu erteilen. So wird sichergestellt, dass sie auf alle Dateien und Daten zugreifen können, die sie für ihre Arbeit benötigen, und gleichzeitig wird verhindert, dass sie andere Informationen sehen, die für sie nicht zugänglich sind. Mithilfe der Verkehrsinspektion können Unternehmen Risiken minimieren, indem sie den Anwendungsverkehr über ihre Sicherheitsinspektionsketten hinweg untersuchen und ungewöhnliche Aktivitäten und potenzielle Bedrohungen identifizieren sowie alle für die Buchhaltung oder Vorfallreaktion erforderlichen Erkenntnisse liefern.

Diese Kontrollen sind zwar weit verbreitet und werden von Sicherheits- und Risikoteams gut verstanden, ihre Implementierung an einer Vielzahl digitaler Kontaktpunkte – vom Rechenzentrumskern bis zum Kundenrand – stellt jedoch eine große Herausforderung dar.

Die Entwicklung zur adaptiven Sicherheit

Der Schwerpunkt bei der Sicherheit liegt zunehmend auf Identität und Verifizierung. Um ihre Sicherheit zu verbessern, setzen Organisationen Methoden wie Zero Trust und Least-Privilege-Zugriff ein. Dabei vertrauen sie standardmäßig weder Benutzern noch Geräten und beschränken den Zugriff auf das absolute Minimum an Informationen, die sie benötigen. Dies geschieht in vielen Fällen durch eine vorgegebene Anwendungsfallmodellierung. Unternehmen nutzen darüber hinaus Methoden wie Verhaltensanalysen, um verdächtiges Verhalten zu erkennen, das auf eine potenzielle Bedrohung durch böswillige Benutzer hinweisen könnte. Zudem setzen sie risikobasierte Kontrollen ein, um den Authentifizierungsprozess zu intensivieren und ihn strenger zu gestalten, wenn die wahrgenommene Bedrohungsstufe zunimmt.

Abbildung 1: Das Internet der Dinge vernetzt die Welt um uns herum und treibt unseren modernen Lebensstil voran.

Heutzutage betreiben Unternehmen jedoch komplexe, vernetzte Architekturen, was ihre Fähigkeit, Sicherheitsrichtlinien wie AuthN und AuthZ konsequent durchzusetzen, erschwert. Die IT ist mit der Vielzahl der Tools und der Herausforderung der Verwaltung heterogener Umgebungen überfordert und bei den „Benutzern“ handelt es sich wahrscheinlich eher um APIs, Dienste oder Maschinen als um Menschen. Die zunehmende Komplexität und Vernetzung der Architektur erfordert einen Paradigmenwechsel im Risikomanagement. Was benötigt wird, ist plattformübergreifende Sichtbarkeit gepaart mit künstlicher Intelligenz (KI) und maschinellem Lernen (ML), damit Unternehmen Datenerkenntnisse in großem Umfang korrelieren und neu auftretende Bedrohungen schnell beheben können – Funktionen, die jetzt in WAAPaaS-Plattformen (Web App and API Protection as a Service) möglich sind.

Abbildung 2: WAFs sind eine strategische Sicherheitskontrolle, die sich im Laufe der Zeit weiterentwickelt hat.

„Der wichtigste Grund für die Auswahl von Security-as-a-Service ist die Geschwindigkeit“¹

Adaptive identitätsbasierte Sicherheit

Ein Kernsatz plattformübergreifender Anwendungsdienste in Verbindung mit einem positiven Betriebsmodell ist für jede Sicherheitsplattform von entscheidender Bedeutung, insbesondere beim Schutz von APIs. Zu diesen zentralen Anwendungsdiensten können Zero-Trust- und risikobasiertes Management sowie Mikrosegmentierung gehören, die Dienste isoliert und den Zugriff auf sie innerhalb des Rechenzentrums oder der Cloud-Umgebung ermöglicht. Ein weiterer zentraler Bestandteil ist die native Tiefenverteidigung, die mehrere Ebenen von Sicherheitskontrollen auf der gesamten Plattform bietet, um Widerstandsfähigkeit zu schaffen für den Fall, dass eine Sicherheitskontrolle einen motivierten Angreifer nicht abschrecken kann.

Eine starke Namespace-Isolierung trennt Ressourcen für mehr Sicherheit und die Geheimnisverwaltung erzwingt konsequent Sicherheitsrichtlinien für die Maschine-zu-Maschine-Kommunikation, die in modernen Architekturen immer häufiger vorkommt.

Abbildung 3: Identitätsautorität für AuthN und AuthZ als Teil plattformübergreifender Anwendungsdienste.

Ein positives Sicherheitsbetriebsmodell ermöglicht es Unternehmen, Sicherheit in CI/CD-Pipelines zu integrieren, neue API-Endpunkte dynamisch zu erkennen, API-Schemata und Zugriffskontrollen durchzusetzen sowie kritische Geschäftslogik automatisch mit KI-/ML-basierter Anomalieerkennung zu schützen. Dies ermöglicht eine konsistente Durchsetzung der Richtlinien über den gesamten Anwendungslebenszyklus hinweg, reduziert Risiken und unbeabsichtigte Fehlkonfigurationen in stark dezentralisierten und vernetzten Architekturen und neutralisiert böswillige Benutzer.

Eine Plattform, die skalierbar ist, um diese Dienste unabhängig vom Speicherort der zugrunde liegenden Infrastruktur und APIs konsistent bereitzustellen, und die Vorgänge wie die Analyse falscher Positivmeldungen und die Risikobewertung/-triage automatisiert, ermöglicht es den Sicherheitsteams, ihre Bemühungen auf das strategische Risikomanagement zu konzentrieren, statt sich mit den alltäglichen taktischen Herausforderungen der Aufrechterhaltung von Sicherheitsrichtlinien in allen Umgebungen und der Verwaltung einer Flut von Sicherheitswarnungen auseinanderzusetzen, die möglicherweise zu keiner Aktion führen oder keine Reaktion auf Vorfälle erfordern.

Abbildung 4: Ein positives Sicherheitsbetriebsmodell ermöglicht automatisierten Schutz und adaptive Abwehrmaßnahmen.

„Identitätsmanagementtechnologien – einschließlich der Verwendung von Authentifizierung und Autorisierung für die API-Sicherheit – gelten noch immer als die wertvollsten Ansätze zur Sicherung von Anwendungen.“¹

Die 3 besten Praktiken für die API-Sicherheit

Damit Unternehmen in der neuen digitalen Wirtschaft erfolgreich sein können, sollten ihre Sicherheits- und Risikoteams ihre strategischen Anstrengungen auf drei Bereiche konzentrieren, um eine vorhersehbare, skalierbare und selbstschützende API-Sicherheitsplattform zu schaffen:

1. Identitätsbasierte Sicherheit

Entwickeln Sie sich zu adaptiver identitätsbasierter Sicherheit.

2. Plattformübergreifende Dienste

Stellen Sie plattformübergreifende Anwendungsdienste bereit, um Konsistenz, Beobachtbarkeit und umsetzbare Erkenntnisse zu erzielen.

3. Automatisierter Schutz

Nutzen Sie KI/ML für kontinuierlichen automatisierten Schutz .

Mehr entdecken

E-BOOK

Bewährte Methoden für die API-Sicherheit: Wichtige Überlegungen zum API-Schutz

Erfolgreiche API-Sicherheit erfordert Wachsamkeit an mehreren Fronten.

E-Book herunterladen ›

BERICHT

Stand der Anwendungsstrategie

Erfahren Sie, wie Unternehmen ihre digitalen Abläufe reaktionsfähiger machen und sie besser darauf vorbereiten, ihre Kunden, Partner und Mitarbeiter zu unterstützen – jetzt und in Zukunft.

Bericht lesen ›