BLOG

F5 rückt nach links, um APIs zu schützen

Chuck Herrin Miniaturbild
Chuck Herrin
Veröffentlicht am 07. Februar 2024

Anwendungsprogrammierschnittstellen (APIs) sind das verborgene zentrale Nervensystem unseres modernen digitalen Lebens. Rund um die Uhr werden die Apps, mit denen wir unseren ersten Kaffee in unserem Lieblingsgeschäft kaufen, uns im Büro anmelden, eine Mitfahrgelegenheit zum Mittagessen mit einem Kollegen finden, das Wetter checken und uns am Ende eines langen Tages endlich hinsetzen, um unsere Lieblingssendung im Fernsehen zu streamen, auf APIs betrieben. Nahezu jede Organisation, mit der wir täglich interagieren, verlässt sich für ihr digitales Geschäft auf APIs, ob sie es nun so sieht oder nicht.

Der Aufstieg der API-First-Softwareentwicklung und -bereitstellung hat die Welt in unzähliger Hinsicht zum Besseren verändert. Allerdings gibt es dabei ein Problem: Wenn sich Ihre Anwendungen und Architekturen ändern, ändert sich auch Ihre Angriffsfläche. Herkömmliche Sicherheitsmaßnahmen wie WAF, DDoS und Bot-Schutz sind nach wie vor wichtig, reichen jedoch nicht aus, um diese APIs vollständig zu schützen. Sie wurden für die Angriffsflächen der damaligen Zeit entwickelt und waren nicht in der Lage, die zukünftige Angriffsfläche und die Änderungen vorherzusagen, die durch die schnelle Einführung von APIs in den letzten Jahren entstanden sind.

Als weltweit führender Anbieter von Anwendungs- und API-Sicherheit ist die Technologie von F5 im Datenpfad von fast der Hälfte aller Anwendungen weltweit vorhanden und bietet einen einzigartigen Einblick in die Angriffe auf moderne Web- und Mobilanwendungen. Unsere Analyse zeigt, dass heute über 90 % der webbasierten Cyberangriffe auf API-Endpunkte abzielen und versuchen, neuere, weniger verstandene Schwachstellen auszunutzen, die oft durch APIs offengelegt werden, die von Sicherheitsteams nicht aktiv überwacht werden.

Da sich Angriffe und Angriffsflächen ändern, muss sich auch Ihre Verteidigung anpassen. Der aktuelle Fokus der Branche auf generative KI führt auch zu einem schnellen Wachstum des Volumens von Apps und APIs zur Unterstützung von Modellen der künstlichen Intelligenz und des maschinellen Lernens (KI/ML), was die Komplexität weiter erhöht. Moderne Unternehmen benötigen eine dynamische Verteidigungsstrategie, die sich auf die Erkennung und Eindämmung von Risiken konzentriert , bevor diese zu kostspieligen, peinlichen und oft vermeidbaren Sicherheitsverletzungen eskalieren.

Aufgrund der Geschwindigkeit dieser raschen Veränderungen ist die Sicherung kritischer APIs für Organisationen aller Art zu einer erheblichen Herausforderung geworden. Bereits überlastete Entwickler- und Verteidigerteams wissen oft nicht einmal, wie viele APIs ihre Unternehmen verwenden, wo sich diese befinden und welche Compliance- und sonstigen Risiken mit den kritischen Daten und Geschäftsprozessen verbunden sind, die diese Schnittstellen unterstützen.

Während sich die Technologie ständig ändert, unterstreicht das Phänomen der API-Sicherheit die Grundprinzipien der Cybersicherheit. Es gibt einen Grund, warum große Kontrollrahmen wie NIST fast immer mit „Identifizieren“ beginnen. Einfach ausgedrückt: Sie können nicht schützen, was Sie nicht sehen, und es ist unmöglich, das Risiko einer Angriffsfläche, die Sie nicht verstehen, wirksam zu managen.

Kredit: N. Hanacek/NIST

Blinde Flecken bei APIs sind zu einem grundsätzlichen Problem geworden und viel zu viele Unternehmen agieren heutzutage im Blindflug, wenn es um ihre APIs geht. Gartner und andere Branchenanalysten sagen mindestens seit 2019 voraus, dass APIs zum Angriffsvektor Nr. 1 werden würden, und unsere Daten untermauern diese Aussage, und es gibt keine Anzeichen für ein Ende dieser Entwicklung.

Die Cybersicherheitsbranche hat darauf reagiert, bislang vor allem mit Punktlösungen, die auf den einen oder anderen Aspekt der API-Entwicklung ausgerichtet sind. Solche Produkte bieten vielfältige, aber begrenzte Funktionen, wie etwa API-Erkennung zum Auffinden bekanntermaßen verwendeter APIs oder Scan- und Testtools zum Auffinden von Schwachstellen und zum Versuch, diese Lücken zu schließen.

Die Zukunft der API-Sicherheit besteht jedoch nicht aus einer Reihe von Punktlösungen, die Sie zusammenschustern und versuchen müssen, selbst zu integrieren. Geben Sie F5 Distributed Cloud Services ein.

Um die Zukunft Ihres Unternehmens aufzubauen, müssen Sie Ihr Unternehmen für die Zukunft rüsten.

Die Branchenführer im Bereich verteiltes Rechnen und Anwendungssicherheit bei F5 sahen diesen wesentlichen Schwerpunkt auf APIs kommen und begannen vor 5 Jahren mit der Entwicklung einer bahnbrechenden Suite von Funktionen, die als F5 Distributed Cloud Services auf den Markt gebracht wurden.

Die heutigen KI-gestützten Apps basieren auf einer verteilten Anordnung von Datenquellen, Modellen und Diensten über lokale, Cloud- und Edge-Bereitstellungen hinweg, die durch eine schnell wachsende Anzahl von APIs miteinander verbunden sind. Um Kunden bei der Bewältigung dieser miteinander verflochtenen Herausforderungen und Chancen zu unterstützen, freuen wir uns, bekannt geben zu können, dass F5 erweiterte API-Codetests und Telemetrieanalysen in die F5 Distributed Cloud Services einbringt und damit die umfassendste und KI-fähigste API-Sicherheitslösung der Branche schafft. Die zusätzlichen Funktionen, die vor Kurzem vom API-Sicherheitsinnovator Wib erworben wurden, ermöglichen die Erkennung und Beobachtung von Schwachstellen in Anwendungsentwicklungsprozessen, die Identifizierung von Risiken und die Implementierung von Richtlinien, bevor APIs in die Produktion gehen.

Ähnlich wie die Zukunft der API-Sicherheit ist die F5 Distributed Cloud Platform für die Zukunft des gesamten Enterprise-Computing konzipiert und verfügt über diese wesentlichen Eigenschaften:

  • Multicloud
  • API zuerst
  • Unterstützt durch künstliche Intelligenz

Das Beste noch besser machen

F5 hat bereits eine robuste API-Erkennung und einen robusten API-Schutz in der F5 Distributed Cloud-Suite von Web-App- und API-Schutzdiensten ( WAAP ) angeboten. Die Plattform erstellt und validiert automatisch robuste Schemata für APIs, beleuchtet API-Risiken mit umsetzbaren Erkenntnissen, nutzt KI/ML, um komplexe API-Angriffe abzuschwächen und mehr. Mit Distributed Cloud WAAP sowie NGINX App Protect und BIG-IP Advanced WAF bietet F5 seinen Kunden die einzigartige Möglichkeit, jede App und jede API überall zu sichern.

Und jetzt geht F5 einen Schritt nach links, um den gesamten API-Lebenszyklus abzudecken.

Die Kombination der Wib-Plattform mit F5 Distributed Cloud API Security bietet die umfassendste API-Sicherheitslösung der Branche.

Um dies zu erreichen, erweitern wir die aktuellen API-Erkennungs- und Schutzfunktionen um:

  • API-Codeanalyse zum Entdecken von API-Endpunkten und Bewerten ihrer Risiken, bevor sie in der Produktion eingesetzt werden.
  • API-Tests zum Aufspüren von Schwachstellen und zur Validierung mutmaßlicher Bedrohungen, die bei der Code- und Verkehrsanalyse erkannt wurden.
  • API-Konformitätsanalyse, um eine angemessene API-Sicherheitslage im Einklang mit den gesetzlichen Anforderungen des Kunden sicherzustellen.
  • Analyse der API-Bedrohungsoberfläche zur Überwachung der öffentlichen Ressourcen einer Organisation im Hinblick auf das Auftauchen neuer APIs und solcher, die außerhalb der Sicherheitskontrolle liegen.
  • API-Sicherheitsfusions-Engine zum Erstellen einer nahtlos integrierten Lösung, bei der jede Bedrohung, Schwachstelle oder Erkenntnis über alle Informationsquellen hinweg validiert wird.


Als ehemaliger CTO von Wib und frischgebackener F5er teile ich die Begeisterung des Teams, Wib-Funktionen in F5 Distributed Cloud Services zu integrieren, und wir arbeiten bereits hart an der Integration unserer Technologie, um die robusteste und umfassendste API-Sicherheitsplattform bereitzustellen, die die Welt je gesehen hat.

Sichern Sie mit uns Ihre Apps und APIs mit der weltweit ersten ganzheitlichen App- und API-Sicherheitslösung mit echter Transparenz und Sicherheit vom Code bis zur Cloud.

Überall ausführen, überall sicher – nur mit F5.