Share
Beitragsbild zu Web-App- und API-Sicherheit: Warum eine dynamische Echtzeit-Abwehr von Angriffen die effektivste Security-Strategie ist

Web-App- und API-Sicherheit: Warum eine dynamische Echtzeit-Abwehr von Angriffen die effektivste Security-Strategie ist

Zu alt, zu langsam, zu anfällig und überfordert: Viele Tools die für mehr Sicherheit in Web-Anwendungen und Schnittstellen (APIs) sorgen sollen, halten mit den heutigen Bedrohungsszenarien nicht mehr Schritt. Außerdem wurden sie in einer Ära entwickelt, in der Software-Architekten, Operationsmanager und IT-Sicherheitsexperten in Silos agierten. 

Aber in Zeiten integrierter und dennoch weltweit verteilter Teams von DevOps (Development und IT Operations) sowie DevSecOps (um Security ergänzt), müssen Chief Information Officer (CIO) Sicherheits-Tools bereitstellen, die diese Kollaboration ermöglichen. Diese Lösungen müssen auch in der Lage sein, Angriffe dynamischer, effektiver und in Echtzeit abwehren zu können, ohne den laufenden Betrieb zu stören. So werden auch dezentrale Anwendungen künftig besser vor Bedrohungen geschützt.

Tools müssen bereits die Angriffsabsicht detektieren

Nicht wenige der heute noch im Einsatz befindlichen Web-App – und API-Security-Tools konzentrieren sich auf bekannte Bedrohungen. Diese Lösungen sind oft auch nicht in der Lage, zwischen legitimem und bösartigem Traffic zu unterscheiden. Und mit der Zunahme an Bedrohungen halten sie nicht Schritt. Sie sind angesichts von über 450.000 neuen Malwarevarianten pro Tag schlicht überfordert. Die Folge ist, dass Warnmeldungen aus einem erheblichen Anteil an Fehlalarmen bestehen und legitimen Traffic unterbrechen können. Daher nutzen viele DevSecOps-Teams ihre Tools nur im Monitoring statt im Blocking-Modus, was Apps angreifbar macht. Hier hilft nur eine intelligentere Herangehensweise, die automatisch und zuverlässig legitimen Traffic durchlässt oder bösartigen Traffic blockiert.

Moderne Cloud- und SaaS-Sicherheitslösungen schaffen Abhilfe, indem sie mögliche Angriffsszenarien antizipieren. Solche Sicherheits-Tools haben das Ziel, den Angreifern immer eine Nasenlänge voraus zu sein, weil sie nicht nur neue Arten an Bedrohungen detektieren, sondern die Angriffsabsicht erkennen und proaktiv Updates bereitstellen können.

Nutzerfreundlichkeit muss Anwendersicherheit steigern

Veraltete Sicherheits-Tools in SaaS-, Web- und API-Management-Anwendungen scheitern bereits bei der Nutzerfreundlichkeit. DevSecOps-Teams müssen sich oft in mehrere unterschiedlichen Oberflächen einloggen, selbst bei ein und demselben Anbieter. Durch diese Intransparenz entstehen wiederum neue Risiken und eine erschwerte Einhaltung von Richtlinien. Die Folge: Langsame und unkoordinierte Reaktionen der weltweit verteilten Mitarbeiter bei Bedrohungen. Innovative Sicherheitslösungen sorgen stattdessen für Transparenz durch einheitlich gestaltete UIs. Sie bieten eine intuitive und einfach zu bedienende Nutzeroberfläche und ermöglichen dadurch mehr Transparenz über die gesamte Anwendungslandschaft. Diese Sicherheits-Tools müssen hierfür über nutzerfreundliche APIs verfügen, über die die DevSecOps auf alle Funktionen des Systems zugreifen können. Die Lösungen müssen dafür mit der gesamten Tool-basierten Abwehrkette funktionieren, sowie mit gängigen Anwendungen wie beispielsweise Jira, PagerDuty, Slack und Splunk interagieren. Dieser hohe Grad an Integration verbessert die Echtzeit-Beobachtung des Traffic.

Laufende Angriffe nur mit Echtzeitreaktionen abzuwehren

Wir wissen, dass Angreifer oftmals die gleichen Tools und Workflows wie DevSecOps-Teams nutzen, um schnell neue Ansätze auszuprobieren, zu variieren und bei Erfolg anzuwenden. Während eines aktiven Angriffs kann das hunderte Mal innerhalb kürzester Zeit passieren. DevSecOps müssen daher mit derselben Geschwindigkeit auf diese reagieren können. Deren Reaktionszeit wird jedoch nicht durch ihre eigene Schnelligkeit determiniert, sondern durch die Geschwindigkeit ihrer Security-Tools. Moderne Sicherheitslösungen erkennen in Sekunden bereits Angriffsindikatoren, weil sie als selbstlernende und selbstheilende Systeme funktionieren. Dafür analysieren sie permanent Muster und Verhaltensweisen, um neue Bedrohungen zu detektieren und ihre Gefahrenpotenziale abzuschätzen. Auf diese Weise können sie neue Regeln als mögliche Reaktion auf die sich ändernden Traffic-Muster einführen. Allerdings sollte diese Transparenz und Kontrolle über Sicherheitslösungen über verschiedene Standorte und Networks hinweg möglich sein, und nicht auf eine Anwendung oder nur eine Region beschränkt werden.

DevSecOps müssen agil interagieren und wie Angreifer denken

So wie moderne Sicherheits-Tools bereits lernen wie Entwickler zu handeln, müssen auch die DevOps und die Security-Teams lernen, sich in ihre Angreifer hineinzuversetzen. Sie dürfen deshalb nicht mehr nur am Ende der Deployment-Pipeline ihre Tests durchführen, sondern sollten Sicherheitstests bereits in einem frühen Stadium der App- und API-Entstehung als integralen Bestandteil der Anwendungsentwicklung sehen.

Die CIOs sollten sich dabei unbedingt im Klaren darüber sein, dass ihre Teams für diese Anforderungen in der Lage sein müssen, technische und kulturelle Gräben zu überwinden. Nur so können ihre verteilten DevSecOp-Teams das gemeinsame Ziel verfolgen, sichere Software zu entwickeln. Denn Sicherheit, genauso wie Engineering, ist im gesamten Lebenszyklus einer Web-App und ihrer APIs immer ein iterativer und agiler Prozess.

Autor: Sean Leach, Chief Product Architect bei Fastly

Über Fastly

Die Edge-Cloud-Plattform von Fastly ermöglicht es Unternehmen, schnell, sicher und zuverlässig attraktive digitale Erlebnisse zu schaffen. Die Anwendungen kommen durch die Edge- Technologie so nah wie möglich zum Nutzer. Die Plattform von Fastly wurde entwickelt, um programmierbar zu sein und die agile Software-Entwicklung mit beispielloser Sichtbarkeit und minimaler Latenz zu unterstützen. Entwickler können so innovative Lösungen leistungsfähig und sicher umsetzen. Zu den Fastly-Kunden zählen Unternehmen wie Pinterest, The New York Times, GitHub oder auch Zeit online.