{"id":26672,"date":"2024-05-17T10:43:10","date_gmt":"2024-05-17T08:43:10","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=26672"},"modified":"2024-05-08T10:49:01","modified_gmt":"2024-05-08T08:49:01","slug":"apis-umfassend-schuetzen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=26672","title":{"rendered":"APIs umfassend sch\u00fctzen"},"content":{"rendered":"\n

Autor\/Redakteur: Stephan Schulz, Senior Solutions Engineer bei F5<\/a>\/gg<\/p>\n\n\n\n

Klassische Ma\u00dfnahmen zum Schutz von Anwendungen gen\u00fcgen heute nicht mehr. Denn Microservices und KI f\u00fchren zu st\u00e4ndigen Ver\u00e4nderungen der Schnittstellen. So ben\u00f6tigen Unternehmen umfassende L\u00f6sungen, die APIs (Application Programming Interfaces) automatisch erkennen und absichern.<\/p>\n\n\n\n

\"\"
Quelle: F5<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Heute sind APIs unverzichtbar f\u00fcr praktisch alle Anwendungen. Die API-first Entwicklung und Bereitstellung von Software bietet zwar viele Vorteile wie Flexibilit\u00e4t und Skalierbarkeit, f\u00fchrt jedoch zu einem Problem: Wenn sich Anwendungen und Architekturen \u00e4ndern, gilt dies auch f\u00fcr die Angriffsfl\u00e4che.<\/p>\n\n\n\n

Herk\u00f6mmliche Sicherheitsma\u00dfnahmen wie WAF (Web Application Firewall), DDoS-Abwehr und Bot-Schutz sind nach wie vor wichtig. Sie wurden f\u00fcr die damaligen Angriffsfl\u00e4chen entwickelt, k\u00f6nnen aber nicht k\u00fcnftige Angriffsfl\u00e4chen und Ver\u00e4nderungen vorhersagen, die durch APIs entstehen. Somit reichen sie nicht aus, um diese APIs umfassend zu sch\u00fctzen.<\/p>\n\n\n\n

Dabei zeigen interne Analysen von F5, dass inzwischen mehr als 90 Prozent der webbasierten Cyberangriffe auf API-Endpunkte abzielen. Diese wollen neue, wenig bekannte Schwachstellen ausnutzen, die durch APIs entstehen und nicht aktiv von Sicherheitsteams \u00fcberwacht werden.<\/p>\n\n\n\n

St\u00e4ndige Ver\u00e4nderungen<\/strong><\/p>\n\n\n\n

Gleichzeitig f\u00fchrt generative KI zu einer weiteren Explosion der Zahl von Apps und APIs zur Unterst\u00fctzung von Modellen f\u00fcr k\u00fcnstliche Intelligenz und Machine Learning. Da sich Angriffe und Angriffsfl\u00e4chen ver\u00e4ndern, muss sich auch ihr Schutz anpassen. Daher ben\u00f6tigen Unternehmen eine dynamische Abwehrstrategie zur Erkennung und Abmilderung von Risiken, bevor diese zu Vorf\u00e4llen f\u00fchren.<\/p>\n\n\n\n

Doch viele IT-Teams wissen nicht einmal, wie viele APIs ihr Unternehmen nutzt, wo sich diese befinden und welche Compliance- und anderen Risiken mit den wichtigen Daten und Gesch\u00e4ftsprozessen verbunden sind, die diese Schnittstellen unterst\u00fctzen. Man kann aber nicht sch\u00fctzen, was man nicht sieht.<\/p>\n\n\n\n

Die Cybersicherheitsbranche reagiert darauf meist mit Einzell\u00f6sungen, die jeweils auf einen Aspekt der API-Entwicklung ausgerichtet sind. Solche Produkte bieten verschiedene, begrenzte Funktionen, wie API-Erkennung oder Schwachstellentests. Die Absicherung von APIs erfordert jedoch umfassende L\u00f6sungen.<\/p>\n\n\n\n

Bereit f\u00fcr die Zukunft<\/strong><\/p>\n\n\n\n

Da KI-basierte Anwendungen oft stark verteilte Datenquellen, Modelle und Dienste in lokalen, Cloud- und Edge-Umgebungen nutzen, ben\u00f6tigen Unternehmen verteilte Services, die all diese Umgebungen abdecken. Diese m\u00fcssen somit Multi-Cloud-f\u00e4hig, API-zentriert und KI-basiert sein.<\/p>\n\n\n\n

Solche Distributed Cloud Services bieten heute auch fortschrittliche API-Code-Tests und Telemetrie-Analysen. Geeignete Funktionen erm\u00f6glichen dabei die Erkennung von Schwachstellen und die Beobachtung von Prozessen in der Entwicklung von Anwendungen. So lassen sich Risiken erkennen und entsprechende Richtlinien implementieren, bevor APIs in der Produktion eingesetzt werden.<\/p>\n\n\n\n

Eine solche L\u00f6sung sollte vor allem folgende Funktionen f\u00fcr Erkennung und Schutz von APIs aufweisen:<\/p>\n\n\n\n

    \n
  • API-Code-Analyse entdeckt API-Endpunkte und bewertet damit verbundene Risiken, bevor diese in Produktion gehen.<\/li>\n\n\n\n
  • API-Tests erkennen Schwachstellen und bewerten m\u00f6gliche Bedrohungen, die bei der Code- und Datenverkehrsanalyse entdeckt werden.<\/li>\n\n\n\n
  • API-Compliance-Analyse gew\u00e4hrleistet einen angemessenen API-Schutz, der mit den gesetzlichen Anforderungen des Unternehmens \u00fcbereinstimmt.<\/li>\n\n\n\n
  • Bewertung der API-Bedrohungsoberfl\u00e4che \u00fcberwacht die \u00f6ffentlichen Ressourcen eines Unternehmens im Hinblick auf neue APIs und solche, die sich au\u00dferhalb der Security Governance befinden.<\/li>\n\n\n\n
  • Eine nahtlos integrierte Validierung bewertet jede Bedrohung, Schwachstelle oder Erkenntnis \u00fcber alle Informationsquellen hinweg.<\/li>\n<\/ul>\n\n\n\n

    Mit diesen Funktionen k\u00f6nnen Unternehmen echte Transparenz und Sicherheit vom Code bis zur Cloud erreichen. So l\u00e4sst sich jede Anwendung und jede API sicher ausf\u00fchren, unabh\u00e4ngig von der Infrastruktur.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Klassische Ma\u00dfnahmen zum Schutz von Anwendungen gen\u00fcgen heute nicht mehr. Denn Microservices und KI f\u00fchren zu st\u00e4ndigen Ver\u00e4nderungen der Schnittstellen. So ben\u00f6tigen Unternehmen umfassende L\u00f6sungen, die APIs (Application Programming Interfaces) automatisch erkennen und absichern.<\/p>\n","protected":false},"author":81,"featured_media":26675,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[7808,18211,18210,18213,1038,18212],"class_list":["post-26672","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-anwendungssicherheit","tag-api-code-analyse","tag-api-schutz","tag-distributed-cloud-services","tag-f5","tag-schnittstellentest"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26672","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=26672"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26672\/revisions"}],"predecessor-version":[{"id":26676,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26672\/revisions\/26676"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/26675"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=26672"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=26672"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=26672"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}