Plattformen am Markt
Im Gegensatz zu anderen punktuellen API-Sicherheitslösungen vereint Cequence die Erkennung von APIs, die Inventarisierung, die Einhaltung von Richtlinien und dynamische Tests mit Echtzeit-Erkennung und nativer Prävention zur Abwehr von Betrug, Angriffen auf die Geschäftslogik, Exploits und unbeabsichtigten Datenlecks. Das Besondere ist also der ganzheitliche Ansatz, der sowohl die API-Sicherheit als auch den API-Schutz umfasst.
Die Unified-API-Protection-Plattform von Cequence Security sichert heute mehr als sechs Milliarden API-Transaktionen pro Tag und schützt mehr als zwei Milliarden Benutzerkonten der Fortune-500-Kunden. Lesenswert ist der Beitrag „Understanding the Zero Trust API
Security Model“.
Hier ein weiterer Link zu mehr Informationen: https://www.cequence.ai/resources/
Q&A
Q: Warum ist API-Sicherheit wichtig?
A: Unternehmen setzen APIs ein, um den Datenaustausch und die Verknüpfung von Diensten zu erleichtern, sowohl im Umgang mit Kunden als auch zur Effizienzsteigerung interner Abläufe. APIs stellen eine Sammlung von Protokollen und Subroutinen dar, die Anwendungen die Kommunikation miteinander und den Austausch von Informationen ermöglichen. Häufig bestehen APIs aus Funktionen oder Abläufen, die von Entwicklern genutzt werden können, um sicherzustellen, dass ihre Anwendungen auf andere Produkte und Systeme zugreifen können, ohne detaillierte Kenntnisse über die Implementierung dieser Produkte und Systeme zu benötigen. Anwendungsprogrammierschnittstellen (APIs) sind weit verbreitet und ermöglichen die globale Nutzung von Webdiensten. Als Ergebnis steht die Sicherheit von APIs in nahezu jedem Unternehmen ganz oben auf der Prioritätenliste.
Q: Nenne 8wichtige API-Softwarehersteller.
A: Hier die Liste:
1. APIsec: APIs sind das Herzstück einer modernen Web-, Mobil- und Datenintegrationsarchitektur. Laut OWASP entstehen die meisten API-Schwachstellen durch Schwachstellen in der Geschäftslogik, der Rollenkonfiguration und der Zugriffskontrolle. Dadurch werden Web-Sicherheit, Pen-Tests und WAF-Ansätze gegen die wichtigsten API-Schwachstellen obsolet.
APIsec ist eine Cloud-native API-Sicherheitsplattform, die die OWASP API Security Top 10, Business-Logic, Role-Configuration & Access-Control Schwachstellen in der API-Schicht sofort erkennt und behebt. Der Screenshot zeigt das Dashboard und die übersichtliche Darstellung der Verwundbarkeit und des Health Status.
2. Smartbear: Das Unternehmen bietet ein Set von Tools, die Software-Entwicklungsteams durch Testmanagement und -automatisierung, API-Entwicklungslebenszyklus und Anwendungsstabilität helfen, die Qualität und Sicherheit der Softwarewerkzeuge zu erhöhen. Zu den Tools gehören unter anderem SwaggerHub, TestComplete, BugSnag, ReadyAPI, Zephyr, PactFlow und Stoplight.
Im neuen Gartner Magic Quadrant für API Management vom September 2023 taucht Smartbear als Visionär auf. Die volle Version des Reports können sie hier herunterladen.
3. Astra Security: hat unter anderem einen englischsprachigen Blog https://www.getastra.com/blog/knowledge-base/api-security-testing/ in dem das Thema API Security Testing: Importance, Rules & Checklist sehr gut beschrieben wird.
4. Data Theorem: Das Unternehmen bietet unter anderem API Security Calculator. Auf der Grundlage Ihrer spezifischen Full-Stack-Anwendungsanalyse (APIs, Clients, Clouds) erhalten Sie eine API-Angriffsflächenberechnung, die Ihnen hilft, den Grad Ihrer Gefährdung zu verstehen.
5. Noname Security: Dies Unternehmen ist im Bereich API Security Testing and API Threat Protection tätig. Im aktuellen Gartner Hype Cycle für Application Security spielt das Thema API Security natürlich auch eine Rolle, siehe Grafik. Das PDF API Secure mit dem Untertitel Hack | Extract | Detect | Protect ist lesenswert. Die nachfolgende Grafik zeigt den konzeptionellen Ansatz:
6. Wallarm: Hier handelt es sich um eine integrierte Plattform für App- und API-Sicherheit.
Sie vereint API-Sicherheits- und WAAP-Funktionen (Next-Gen WAF), um Ihr gesamtes API- und Webanwendungsportfolio in Multi-Cloud- und Cloud-Native-Umgebungen zu schützen. Auch durch diesen 2 in 1-Ansatz unterscheidet sich Wallarm vom Mittbewerb.
7. Traceable: Wenn Anwendungen immer weiter verteilt werden, haben Anwender bald keinen Überblick mehr darüber, was in Ihrem API-Ökosystem geschieht, und der Schutz dieser APIs wird immer schwieriger. Blinde Flecken in der Interaktion zwischen den Diensten können aufgrund von Datenverarbeitungsbeschränkungen durch Altsysteme entstehen.