Glossar

Was ist Web App and API Protection (WAAP)?

Web App and API Protection (WAAP) bezieht sich auf einen integrierten Satz von Sicherheitsdiensten, die zusammenwirken und auf diese Weise Sicherheitsrisiken für APIs und Webanwendungen reduzieren.

Was ist WAAP?

WAAP-Lösungen schützen vor Anwendungssicherheitsrisiken durch Ausnutzung von Schwachstellen, Bots, automatisierte Angriffe, Denial of Service, Betrug und missbräuchliche Verwendung sowie unsichere API-Integrationen von Drittanbietern.

Integrierte Sicherheitskontrollen ermöglichen es Unternehmen, die Transparenz zu verbessern und verwertbare Erkenntnisse zu gewinnen, die sowohl spezifischen Angriffen Einhalt gebieten als auch koordinierte Bedrohungskampagnen erkennen können, die mehrere Bedrohungsvektoren umfassen.

Warum ist Web App and API Protection so wichtig?

Kunden mit ansprechenden und sicheren digitalen Erlebnissen zu begeistern, ist ein geschäftlicher Imperativ und Schwerpunkt für Sicherheits- und Risikoverantwortliche. Die Abwägung zwischen Risiko und Nutzen, bei der versucht wird, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen, war noch nie so schwierig, wichtig, aber auch lohnend wie in der heutigen digitalen Wirtschaft.

Eine beispiellose Auswahl, die geringe Toleranz der Kunden gegenüber Verzögerungen oder Ausfällen und die zunehmenden Vorschriften verändern die Perspektive der Sicherheit von einer Kostenstelle zu einem digitalen Wettbewerbsvorteil. Darüber hinaus sind Anwendungen zunehmend dezentralisiert und verteilt, werden in heterogenen und Multi-Cloud-Architekturen eingesetzt und in komplexe Software-Lieferketten und CI/CD-Pipelines integriert.

WAAP-Diagramm 1

Abbildung 1: Apps sind zunehmend dezentralisiert und verteilt

Die zunehmende Ausgereiftheit von Bots und automatisierten Angriffen sowie die Verbreitung von API-Endpunkten durch die verstärkte Nutzung mobiler Apps und die moderne App-Entwicklung erweitern die Angriffsfläche dramatisch und führen zu unvorhergesehenen Risiken durch Drittanbieter-Integrationen.

Der Lebenszyklus eines industrialisierten Angriffs beginnt mit der Automatisierung und endet mit der Übernahme von Konten und Betrug.

WAAP-Diagramm 2

Abbildung 2: Angriffe auf Anwendungen sind hartnäckig und raffiniert

 

Eine WAAP-Lösung erweitert den WAF-Einsatz in angrenzende Bereiche, insbesondere Bot-Management, API-Sicherheit und DDoS-Abwehr.

Eine WAF, die in cloudbasierte DDoS-Scrubbing-Zentren integriert ist, wurde in der Vergangenheit als WAAP bezeichnet, unabhängig davon, ob es sich bei der WAF um eine Hardware- oder virtuelle Appliance in einem Rechenzentrum, einer privaten oder öffentlichen Cloud handelt. Der Markt befindet sich jedoch an einem Wendepunkt, an dem viele Unternehmen cloudbasierte WAAP-Plattformen in Form von As-a-Service-Sicherheitslösungen bevorzugen.

Es gibt mehrere Faktoren, die das Interesse an cloudbasierten WAAP-Plattformen steigern:

  1. Der Bedarf an speziellen Bot-Management-Technologien zur Abwehr von Betrug und missbräuchlicher Verwendung
  2. API-Erkennungs- und Durchsetzungskontrollen, die das Risiko, das von Drittanbieter-Integrationen ausgeht, mindern können
  3. Kontinuierliche Richtlinienpflege über APIs, Entwicklungs-Frameworks und CI/CD-Pipelines
  4. Automatisierte Schutzmaßnahmen und Beseitigung von Fehlalarmen mithilfe von künstlicher Intelligenz, die vom Menschen gesteuert wird

Appliance-basierte WAFs, die in cloudbasierte, geschäftsbezogene Sicherheitsdienste integriert werden, kommen in stark regulierten Branchen wie dem Finanzwesen weiterhin als praktikable und sogar bevorzugte Option zum Einsatz.

Wie ein Cloud-WAAP-Dienst evaluiert werden kann

Die am häufigsten erwähnten Kaufkriterien für WAAP sind Effektivität und Benutzerfreundlichkeit.

Eine Best-in-Class-WAAP-Lösung hilft dabei, die Sicherheit synchron mit den Geschäftsanforderungen zu verbessern, Kompromittierungen zu minimieren, ohne dass Verzögerungen oder übermäßige Fehlalarme entstehen, und die betriebliche Komplexität zu reduzieren. Dies schützt Hybrid- und Multi-Cloud-Architekturen konsequent vor kritischen Schwachstellen, Missbrauch der Geschäftslogik und unvorhergesehenen Risiken.

Wichtige Vorteile:

  • Universelle Beobachtbarkeit der gesamten Cloud-nativen Infrastruktur und aller Anwendungen
  • Dynamische API-Erkennung und -Durchsetzung
  • Widerstandsfähigkeit gegenüber neuen Angriffstools und Umgehung von Sicherheitsmaßnahmen

Wie funktioniert Web App and API Protection?

WAAP-Lösungen mindern das Risiko von Kompromittierungen, Datenexfiltrationen, Kontoübernahmen und Anwendungsausfällen, indem sie verschiedene Sicherheitskontrollen zum Schutz von Anwendungen integrieren, darunter:

  • Web Application Firewall (WAF)
  • Bot Management
  • API-Sicherheit
  • DDoS-Abwehr

WAAP-Lösungen sind in verschiedenen Formfaktoren erhältlich:

  1. Physische/virtuelle WAF-Appliances, die sich in cloudbasierte Sicherheitsdienste integrieren lassen
  2. Microservices-basierte WAF-Instanzen, die sich in cloudbasierte Sicherheitsdienste integrieren lassen
  3. Cloudbasierte WAAP-Plattformen mit integrierten WAF-, Bot-, API- und DDoS-Sicherheitskontrollen

WAAP-Lösungen umfassen auch clientseitige Sicherheitsvorkehrungen zur Erkennung von bösartigen Skripten bzw. Skimming (z. B. Magecart-Angriffen), Sicherheitskontrollen zur Verhinderung von Angriffen durch bösartige Aggregatoren und einen Kontenschutz, der die Übernahme von Konten durch manuellen Betrug verhindert.

Application Infrastructure Protection (AIP)-Lösungen verstärken den Schutz von Anwendungen durch dynamische Erkennung von Schwachstellen und Cloud-Workload-Sicherheit. Durch die Integration in WAAP-Kontrollen wird die Ausnutzung und missbräuchliche Verwendung der zugrunde liegenden Infrastruktur verhindert.

Wie wird Web App and API Protection bei F5 gehandhabt?

WAAP-Lösungen von F5 passen nativ in jede Architektur, jede Cloud und jedes Betriebsmodell. Sicherheits- und Risikoteams erhalten damit universelle Transparenz und konsistente Richtliniendurchsetzung zum Schutz von Legacy-Apps und modernen Anwendungen vom Kern über die Cloud bis zum Edge. WAAP-Lösungen von F5 bieten Flexibilität und Wahlmöglichkeiten in Bezug auf das Bereitstellungs- und Betriebsmodell.

F5 Distributed Cloud WAAP bietet eine beispiellose Beobachtbarkeit in Verbindung mit einem großen realen Data Lake und Algorithmen für maschinelles Lernen. F5-Kunden können KI-basierte Mehrwertdienste nutzen, z. B. Authentication Intelligence. Dieser Dienst optimiert legitime Kundentransaktionen durch verbesserte Personalisierung und Beseitigung von Reibungspunkten und erhöht so die Kundenbindung, -konversion und -loyalität.

WAAP-Diagramm 3

Abbildung 3: F5 Distributed Cloud Web App and API Protection-Plattform