Experten sind sich einig: Cyberkriminelle zielen immer häufiger auf APIs, Application Programming Interfaces, ab. Entwickler, Security- und Operationsteams brauchen deshalb effektivere Tools, um Web-Anwendungen besser zu schützen. Damit dies gelingt, müssen sie jedoch auch den Traffic in Echtzeit überwachen können.
Eine von Fastly und der Enterprise Strategy Group (ESG) durchgeführte Studie zu Web-App- und API-Sicherheit zeigt das Problem unmissverständlich: 82 Prozent der 500 befragten Unternehmen waren in den letzten 12 Monaten erfolgreichen Cyber-Angriffen ausgesetzt, die Mehrheit der Befragten berichteten von durchschnittlich 60 Angriffen pro Jahr. Trotz dieser sehr realen Bedrohung betreiben 91 Prozent der Unternehmen ihre Sicherheitslösungen ausschließlich im Logging oder Monitoring Mode oder schalten diese sogar komplett ab. Denn bei fast der Hälfte (45 Prozent) aller Warnmeldungen handelt es sich um Fehlalarme. Offensichtlich wird durch diese Zahlen, dass viele Security-Tools den aktuellen Bedrohungsszenarien nicht länger standhalten. Sie wurden entwickelt, bevor weltweit dezentrale Web-Anwendungen von ebenso dezentralen Teams aus Developern, Security- und Operations-Experten einem Heer von Cyberkriminellen standhalten mussten.
Hier hilft nur eins: Technologieentscheider müssen die Sicherheitslösungen ihrer Teams aufrüsten. Die Anforderungen: Die Tools müssen in der Lage sein, Angriffe in Echtzeit zu erkennen, um diese effizienter und dynamischer abzuwehren, ohne dabei den gewünschten Traffic zu beeinträchtigen. Sie sollten es außerdem selbst global verteilten Entwickler-, Security- und Operationsteams erleichtern, enger miteinander zu verschmelzen (DevSecOps), und sie bei immer raffinierteren Angriffsszenarien unterstützen. Dabei sind insbesondere vier Faktoren zu beachten.
1. Cyberkriminelle schneller und automatisch aufspüren
Viele Lösungen zum Schutz von Web-Apps und APIs identifizieren lediglich bekannte Angriffsmuster. Sie scheitern aber oft daran, gefährlichen und seriösen Traffic voneinander zu unterscheiden. Angesichts der mehr als 400.000 neuen Malware-Varianten täglich gehen deshalb einige Teams dazu über, ihre Sicherheitslösungen im Monitoring-Modus laufen zu lassen, obwohl sie eigentlich erst im Blocking-Modus flächendeckenden Schutz für Web-Apps und APIs bieten. So werden zwar nervige Warnmeldungen, Fehlalarme und Störungen beim gewünschten Traffic vermieden. Allerdings muss gleichzeitig in Kauf genommen werden, dass potenziell verdächtiger Traffic nicht schnell genug erkannt werden kann. Es sollte keine Alternative dazu geben, seine Sicherheitslösungen im Blocking-Modus zu betreiben. Deshalb müssen Tools in der Lage sein, automatisch und zuverlässig zu identifizieren, welches Traffic-Verhalten auffällig und welches gutartig ist. Fortschrittliche SaaS, Cloud- sowie Content-Delivery-Dienste stellen mittlerweile Lösungen bereit, die Angriffslagen schneller erkennen und entsprechende Gegenmaßnahmen zügig einleiten können.
2. Bessere Usability fördert Anwendung neuer Lösungen
Viele Sicherheits-Tools für Web-Apps und APIs haben den Nachteil, dass sie nur wenig anwenderfreundlich sind. Selbst bei ein und demselben Anbieter unterscheiden sich oft Nutzeroberflächen und -logiken. Das birgt neue Risiken für eine konsequente Umsetzung von Security-Richtlinien und einer flächendeckenden Anwendung neuer Technologien. Richtig gravierend werden Angriffe vor allem dann, wenn durch unzureichende Tools dezentral arbeitende Teams bei Bedrohungen zu langsam und unkoordiniert handeln. Fortschrittliche Security-Lösungen unterstützen hingegen schnelle Reaktionsfähigkeiten alleine schon durch intuitive und einfach zu bedienende Nutzeroberflächen und ermöglichen damit eine höhere Transparenz über die gesamte Anwendungslandschaft hinweg. Wichtig sind zudem Integrationsmöglichkeiten mit gängigen DevSecOps-Tools wie beispielsweise Jira, PagerDuty, Slack und Splunk. Denn so können sich die jeweiligen Mitarbeiter auf genau den Plattformen über auffällige Aktivitäten informieren und austauschen, auf denen sie täglich aktiv sind.
3. Nur Echtzeitreaktionen sichern Web-Apps und APIs effektiv
Cyberkriminelle denken und arbeiten wie Entwickler. Sie sind in der Lage ihre Angriffe zu variieren und deren Frequenz zu verstärken, bis sie Erfolg haben und eine Lücke finden. Sicherheitsteams brauchen daher die gleiche Reaktionsfähigkeit. Fortschrittliche Lösungen erkennen bereits Angriffsabsichten, ihre Algorithmen arbeiten wie selbstlernende Systeme. Sie analysieren permanent Traffic-Muster und Verhaltensweisen, um neue Angriffsarten zu identifizieren und deren Bedrohungspotenziale abzuschätzen. Dabei leiten sie neue Regeln ab, validieren ihre Reaktionen und wenden diese bei veränderten Traffic-Ereignissen an. Erfolgreich sind sie allerdings nur dann, wenn sie weltweit alle Anwendungen und ihren Traffic simultan und in Echtzeit überwachen können.
4. Dev, Sec und Ops müssen wie Angreifer denken
Genauso wie fortschrittliche Sicherheits-Tools wie Angreifer „denken“ sollten, müssen auch Entwickler, Security- und Operationsteams lernen, das Vorgehen und die kriminelle Energie ihrer Angreifer zu antizipieren. Vor allem sollte die Rolle der Security-Experten intern aufgewertet werden. Statt sie wie früher am Ende der Entwicklungskette von Web-Apps und APIs einzubinden, sollten sie von Anfang an bei jedem Entwicklungsschritt dabei sein. Entscheidungsträger sollten zudem dafür sorgen, dass ihre Security-Mitarbeiter auch bei global verteilten Teams regelmäßig Sicherheitsüberprüfungen durchführen. Denn absolute Sicherheit für Web-Apps und APIs besteht immer nur zum Zeitpunkt der Prüfung. Doch die Lage kann sich stündlich ändern. Deshalb sollten Security-Checks bis zum Ende des Lebenszyklus einer Web-App und ihrer APIs heute zum Standard gehören.