APIs umfassend schützen
Autor/Redakteur: Stephan Schulz, Senior Solutions Engineer bei F5/gg
Klassische Maßnahmen zum Schutz von Anwendungen genügen heute nicht mehr. Denn Microservices und KI führen zu ständigen Veränderungen der Schnittstellen. So benötigen Unternehmen umfassende Lösungen, die APIs (Application Programming Interfaces) automatisch erkennen und absichern.
Heute sind APIs unverzichtbar für praktisch alle Anwendungen. Die API-first Entwicklung und Bereitstellung von Software bietet zwar viele Vorteile wie Flexibilität und Skalierbarkeit, führt jedoch zu einem Problem: Wenn sich Anwendungen und Architekturen ändern, gilt dies auch für die Angriffsfläche.
Herkömmliche Sicherheitsmaßnahmen wie WAF (Web Application Firewall), DDoS-Abwehr und Bot-Schutz sind nach wie vor wichtig. Sie wurden für die damaligen Angriffsflächen entwickelt, können aber nicht künftige Angriffsflächen und Veränderungen vorhersagen, die durch APIs entstehen. Somit reichen sie nicht aus, um diese APIs umfassend zu schützen.
Dabei zeigen interne Analysen von F5, dass inzwischen mehr als 90 Prozent der webbasierten Cyberangriffe auf API-Endpunkte abzielen. Diese wollen neue, wenig bekannte Schwachstellen ausnutzen, die durch APIs entstehen und nicht aktiv von Sicherheitsteams überwacht werden.
Ständige Veränderungen
Gleichzeitig führt generative KI zu einer weiteren Explosion der Zahl von Apps und APIs zur Unterstützung von Modellen für künstliche Intelligenz und Machine Learning. Da sich Angriffe und Angriffsflächen verändern, muss sich auch ihr Schutz anpassen. Daher benötigen Unternehmen eine dynamische Abwehrstrategie zur Erkennung und Abmilderung von Risiken, bevor diese zu Vorfällen führen.
Doch viele IT-Teams wissen nicht einmal, wie viele APIs ihr Unternehmen nutzt, wo sich diese befinden und welche Compliance- und anderen Risiken mit den wichtigen Daten und Geschäftsprozessen verbunden sind, die diese Schnittstellen unterstützen. Man kann aber nicht schützen, was man nicht sieht.
Die Cybersicherheitsbranche reagiert darauf meist mit Einzellösungen, die jeweils auf einen Aspekt der API-Entwicklung ausgerichtet sind. Solche Produkte bieten verschiedene, begrenzte Funktionen, wie API-Erkennung oder Schwachstellentests. Die Absicherung von APIs erfordert jedoch umfassende Lösungen.
Bereit für die Zukunft
Da KI-basierte Anwendungen oft stark verteilte Datenquellen, Modelle und Dienste in lokalen, Cloud- und Edge-Umgebungen nutzen, benötigen Unternehmen verteilte Services, die all diese Umgebungen abdecken. Diese müssen somit Multi-Cloud-fähig, API-zentriert und KI-basiert sein.
Solche Distributed Cloud Services bieten heute auch fortschrittliche API-Code-Tests und Telemetrie-Analysen. Geeignete Funktionen ermöglichen dabei die Erkennung von Schwachstellen und die Beobachtung von Prozessen in der Entwicklung von Anwendungen. So lassen sich Risiken erkennen und entsprechende Richtlinien implementieren, bevor APIs in der Produktion eingesetzt werden.
Eine solche Lösung sollte vor allem folgende Funktionen für Erkennung und Schutz von APIs aufweisen:
- API-Code-Analyse entdeckt API-Endpunkte und bewertet damit verbundene Risiken, bevor diese in Produktion gehen.
- API-Tests erkennen Schwachstellen und bewerten mögliche Bedrohungen, die bei der Code- und Datenverkehrsanalyse entdeckt werden.
- API-Compliance-Analyse gewährleistet einen angemessenen API-Schutz, der mit den gesetzlichen Anforderungen des Unternehmens übereinstimmt.
- Bewertung der API-Bedrohungsoberfläche überwacht die öffentlichen Ressourcen eines Unternehmens im Hinblick auf neue APIs und solche, die sich außerhalb der Security Governance befinden.
- Eine nahtlos integrierte Validierung bewertet jede Bedrohung, Schwachstelle oder Erkenntnis über alle Informationsquellen hinweg.
Mit diesen Funktionen können Unternehmen echte Transparenz und Sicherheit vom Code bis zur Cloud erreichen. So lässt sich jede Anwendung und jede API sicher ausführen, unabhängig von der Infrastruktur.