ARTIKEL
WAAP-Ratgeber
Unsichtbare Bedrohungen sind jetzt viel weniger bedrohlich
ZUGEHÖRIGER INHALT
E-Book: Einkaufsleitfaden für Webanwendungs- und API-Schutz (WAAP) ›
Erfahren Sie, wie ein effektiver und einfach zu bedienender Webanwendungs- und API-Schutz die geschäftliche Agilität und die Kundenerfahrung bewahren kann, um die Perspektive der Sicherheit von einer Kostenstelle zu einem digitalen Unterscheidungsmerkmal zu machen.
EINLEITUNG
Neue dezentrale Computing-Architekturen auf der Grundlage von Clouds, Containern und APIs treiben eine neue Generation digitaler Innovationen voran. Diese dynamischen, verteilten Umgebungen vergrößern jedoch auch die Bedrohungsoberfläche und erhöhen die Möglichkeiten für Kompromittierungen, Ausfallzeiten und Missbrauch, der zu Betrug führt. Erfahren Sie, wie effektive Sicherheitslösungen ältere und moderne Anwendungen vor Angriffen und Missbrauch schützen und gleichzeitig die betriebliche Komplexität reduzieren sowie das Kundenerlebnis optimieren.
Wie sind wir zum Webanwendungs- und API-Schutz (WAAP) gekommen?
Der Markt für die Sicherheit von Webanwendungen hat sich weiterentwickelt, um mit der neuen digitalen Wirtschaft Schritt zu halten. Während sich die Webanwendungs-Firewall (WAF) als wirksames Instrument zur Minimierung von Anwendungsschwachstellen erwiesen hat, haben die Verbreitung von APIs und die zunehmende Raffinesse der Angreifer zu einer Konvergenz von WAF, API-Sicherheit, Bot-Abwehr und DDoS-Prävention zu WAAP-Lösungen geführt, um Anwendungen vor Kompromittierung, Ausfallzeiten und Betrug zu schützen.
Die wettbewerbsintensive digitale Landschaft hat Unternehmen dazu veranlasst, die moderne Softwareentwicklung zu nutzen, um auf dem Markt erfolgreich zu sein. Dies führte zu schnellen Veröffentlichungszyklen bei der Einführung neuer Funktionen und einer Vermischung von Integrationen, Front-End-Benutzeroberflächen und Back-End-APIs. Es ist zwar weder eine Schwäche noch ein Mangel, Warenkörbe oder Treueprogramme zu nutzen, doch stellen die Endpunkte, die den Handel und die Kundenbindung erleichtern, ein Hauptangriffsziel für Angreifer dar. Daher müssen alle Benutzerinteraktionen und die Geschäftslogik vor Schwachstellen in der Software sowie vor inhärenten Schwachstellen geschützt werden, die Funktionen wie die Anmeldung, die Kontoerstellung oder das Hinzufügen von Produkten zum Warenkorb ausnutzen.
Heutzutage stehen Kunden vor einer noch nie da gewesenen Auswahl und weisen eine geringe Toleranz für schlechte Erfahrungen auf. Jeder Sicherheitsvorfall und jede Reibung bei einer Transaktion können zu Umsatzeinbußen und sogar zur Abwanderung von Kunden führen.
Die neue digitale Wirtschaft erfordert daher eine neue Ära der Webanwendungssicherheit, um sichere Innovationen zu ermöglichen, Risiken effektiv zu verwalten und die betriebliche Komplexität zu reduzieren.
Warum der dringende Bedarf an WAAP?
Innovationen und die weit verbreitete Einführung der Cloud haben zu einer Vielzahl von Architekturen und wechselseitigen Abhängigkeiten zwischen Anwendungskomponenten geführt. Traditionelle dreischichtige Web-Stacks und ältere Anwendungen werden nachträglich angepasst oder sogar durch moderne Anwendungen ersetzt, die dezentrale Architekturen wie Container und Microservices nutzen, um die Kommunikation von API zu API zu erleichtern. Cloudnative Toolkits und die Geschäftskontinuität haben die Einführung mehrerer Clouds vorangetrieben. Leicht zugängliche Mobilanwendungen und API-Integrationen, die die Markteinführung beschleunigen, sind der Schlüssel zur Erhaltung des Wettbewerbsvorteils in einem Markt, der durch kontinuierliche digitale Innovation geprägt ist.
Die Dezentralisierung der Architektur, die agile Softwareentwicklung und die Integration von Drittanbietern haben die Bedrohungsoberfläche vergrößert und unbekannte Risiken mit sich gebracht. Dies erfordert eine erneute Konzentration auf die Prinzipien der Verschiebung nach links, wie z. B. die Modellierung von Bedrohungen und die Sicherstellung, dass Sicherheits- und Zugriffskontrollrichtlinien über Architekturen hinweg konsistent eingesetzt und gepflegt werden können. Neben der Eindämmung von Schwachstellen und Fehlkonfigurationen müssen InfoSec-Mitarbeiter nun auch ihre CI/CD-Pipelines schützen, Open-Source-Komponenten sichern und ihre Anwendungen vor automatisierten Angriffen bewahren, die die Geschäftslogik missbrauchen.
Kunden- und Umsatzwachstum
Unternehmen, die durchgängig sichere digitale Erlebnisse bieten, erzielen ein Kunden- und Umsatzwachstum.
Wettbewerbsvorteil
Vorfälle im Bereich der Cybersicherheit und Reibungspunkte für Kunden stellen die größten Risiken für den digitalen Erfolg und den Wettbewerbsvorteil dar.
Vergrößerte Bedrohungsoberfläche
Ausufernde Architekturen und wechselseitige Abhängigkeiten haben die Bedrohungsoberfläche für raffinierte Angreifer dramatisch vergrößert.
Was macht einen guten WAAP aus?
Aufgrund der Komplexität des Schutzes von Webanwendungen und APIs vor einem stetigen Ansturm von Angriffen und Missbrauch werden in der Cloud bereitgestellte As-a-Service-WAAP-Plattformen immer beliebter. Diese Plattformen wurden von einer Vielzahl von Anbietern entwickelt, darunter etablierte CDN-Anbieter, Pioniere der Anwendungsbereitstellung und Sicherheitsanbieter, die durch Übernahmen in angrenzende Märkte expandierten. |
Effektivität und Benutzerfreundlichkeit werden oft als wichtige Kaufkriterien für WAAP genannt, sind aber subjektiv und bei der Auswahl des Anbieters schwer zu überprüfen.
Ein praktischerer Ansatz ist die Definition und Gruppierung von WAAP-Nutzenversprechen in Grundvoraussetzungen, eine Auswahlliste der Funktionen und Unterscheidungsmerkmale, um Unternehmen dabei zu helfen, eine möglichst fundierte Auswahl zu treffen.
| Grundvoraussetzungen | Auswahlliste der Funktionen | Unterscheidungsmerkmale |
|---|---|---|
| Einfaches Onboarding und wartungsarme Überwachung |
Positives Sicherheitsmodell mit automatisiertem Lernen
|
Transparenz und konsistente Sicherheit über Anwendungen und APIs hinweg |
Umfassende Sicherheitsanalytik
|
Verhaltensanalyse und Anomalieerkennung | Maximale Erkennungsrate (Effizienz) |
| Verfeinerung jenseits von Signaturen, Regeln und Reputation |
Gegenmaßnahme zu Ausweichmanövern
|
Minimale Fehlalarmrate |
| API-Erkennung und Durchsetzung von Richtlinien |
Behebung von Fehlalarmen |
Transparenter Schutz, der die CX-Reibung reduziert
|
| Skalierbarer Bot- und DDoS-Schutz |
Integration mit Sicherheitsökosystemen und DevOps-Tools |
Einfach zu verwenden, zu bedienen und zu integrieren
|
Was macht den besten WAAP aus?
Ein erstklassiger WAAP hilft Unternehmen, ihre Sicherheitslage mit der Geschwindigkeit des Geschäfts zu verbessern, Kompromittierungen ohne Reibungsverluste oder übermäßige Fehlalarme zu minimieren und die betriebliche Komplexität zu reduzieren, um sichere digitale Erlebnisse in großem Umfang zu bieten. Verbesserung der Sicherheitslage mit der Geschwindigkeit des Geschäfts
Verhindern von Kompromittierungen mit minimalen Reibungsverlusten und Fehlalarmen
Reduzierung der betrieblichen Komplexität
|
Der beste WAAP bietet effektive und einfach zu bedienende Sicherheit auf einer verteilten Plattform. |
| Effektive Sicherheit | Verteilte Plattform | Einfach zu bedienen |
|---|---|---|
| Abwehr in Echtzeit |
Transparenz über Clouds und Architekturen hinweg
|
Self-Service-Bereitstellung |
Rückblickende Analyse
|
Selbstoptimierende Sicherheit
|
|
| Geringe Reibung |
Konsistente Richtliniendurchsetzung
|
Umfassende Dashboards |
| Geringe Fehlalarme |
Analyse kontextbezogener Einblicke
|
Der Vorteil von F5 WAAP
F5 WAAP passt sich an die Entwicklung von Anwendungen und Angreifern an, um das Kundenerlebnis in der neuen digitalen Wirtschaft zu sichern. |
Abwehr in Echtzeit
Robuste Sicherheit, Bedrohungsanalysen und Anomalieerkennung schützen alle Anwendungen und APIs vor Angriffen, Bots und Missbrauch, um Kompromittierungen, Kontoübernahmen und Betrug in Echtzeit zu verhindern. |
Rückblickende Analyse
Korrelierte Erkenntnisse über mehrere Vektoren und die ML-basierte Auswertung von Sicherheitsereignissen, Anmeldefehlern, Richtlinienauslösern und Verhaltensanalysen ermöglichen eine kontinuierliche Selbstlernfähigkeit. |
Automatisierter Schutz
Die dynamische Erkennung und Richtlinienbasis ermöglichen die automatische Abwehr, Optimierung und Behebung von Fehlalarmen während des gesamten Entwicklungs- und Bereitstellungszyklus und darüber hinaus. |
Adaptive Sicherheit
Autonome Sicherheitsmaßnahmen, die reagieren, wenn Angreifer sich umrüsten, täuschen und überführen böswillige Akteure, ohne sich dabei auf Abwehrmaßnahmen zu verlassen, die das Kundenerlebnis stören. |
Verteilte Plattform
Deklarative Richtlinien abstrahieren die zugrundeliegende Infrastruktur, um Fehlkonfigurationen zu vermeiden, und stellen Sicherheit bei Bedarf bereit, um konsistenten Schutz von der Anwendung bis zum Endgerät zu gewährleisten. |
Integration von Ökosystemen
API-gesteuerte Bereitstellung und Wartung, die sich problemlos in umfassendere Entwicklungs-Frameworks, CI/CD-Pipelines und Ereignismanagementsysteme integrieren lassen.
Beispiel für Credential-Stuffing-Angriffe |
| Bedingung | Identifizierung |
|---|---|
Missbrauch
|
Anomalieerkennung
|
Absicht
|
Verhaltensanalyse
|
Entstehung
|
Stufe-1-ML
|
Ausweichmanöver
|
Stufe-2-ML
|
Credential-Stuffing-Playbook
