BLOG | BÜRO DES CTO

Stand der Application 2022: Sicherheit verlagert sich auf Identität

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 06. Juni 2022


In den acht Jahren seit der Einführung unserer jährlichen Studie, aus der später der „State of Application Strategy Report“ hervorging, haben wir den stetigen Aufstieg der Sicherheit an die Spitze der App-Sicherheits- und Bereitstellungsdienste erlebt.

Die Verfügbarkeit als allgemeine Kategorie, zu der Technologien wie Lastverteilung, Caching und CDNs zählen, hatte ungefähr so lange die höchste Priorität, wie es im Jahr 2003 dauerte, bis ein neu gestarteter Webserver unbehelligt im Internet überleben konnte. Für diejenigen, die es noch nicht wissen: Das war nicht sehr lang.

Das Thema Sicherheit schoss fast sofort an die Spitze der Rangliste und ist dort seit etwa 2017 unangefochten geblieben.

Bisher.

In diesem Jahr konnten wir zum ersten Mal beobachten, dass ein nicht zum Kerngeschäft gehörender Sicherheitsdienst an die Spitze der am häufigsten eingesetzten Dienste gelangte. Dieser Dienst ist Identität .

Bereitstellung sämtlicher Sicherheits- und Lieferdienste

Aber es ist nicht nur so, dass Identität und Zugriff zu den am häufigsten eingesetzten Technologien geworden sind. Unsere Untersuchungen haben zahlreiche Belege dafür erbracht, dass es zu einer deutlichen Verlagerung hin zu identitätsbasierter Sicherheit kommt.

Berücksichtigen Sie die API-Sicherheit. Ja, die Leute setzen es ein. Wir sind jedoch ins Detail gegangen und haben nach den spezifischen Schutzarten gefragt, die die Befragten für wertvoll hielten. Wir haben sie grob in drei Kategorien eingeteilt:

  1. Traditionell. Dieser Schutz basiert größtenteils auf den webbasierten Schutzmechanismen, die seit Jahren in Web Application Firewalls enthalten sind. Ratenbegrenzung, OWASP Top Ten und natürlich Verschlüsselung/Entschlüsselung.
  2. Modern. Diese Schutzmaßnahmen sind in den letzten Jahren entstanden und haben sich zu einer wichtigen Sicherheitsquelle für APIs entwickelt. Zu dieser Gruppe gehört die Überprüfung der Nutzlast (Inhalte), etwa die Suche nach Malware und schädlichen Inhalten sowie die Authentifizierung/Autorisierung. Spoiler: Das ist der Identitätsteil.
  3. Anpassungsfähig. Adaptiver Schutz ist eine neue Kategorie, die durch die Fähigkeit vorangetrieben wird, KI und maschinelles Lernen zu nutzen, um Verhaltensanalysen durchzuführen, die zwischen menschlichen und nicht-menschlichen Benutzern unterscheiden können. Diese Techniken bilden in der Regel die Grundlage für Betrugsbekämpfungs- und Bot-Schutzdienste.

Wir haben gefragt, was die Befragten für den „wertvollsten“ Schutz in dieser Liste halten. Die Ergebnisse zeigten ein hohes Maß an ausgefeilten Sicherheitsmaßnahmen, insbesondere bei denjenigen, die im vergangenen Jahr tatsächlich API-Schutzmaßnahmen implementiert hatten. Wie bei der Bereitstellung von Diensten stand die Identität ganz oben auf der Liste der wertvollsten Schutzmaßnahmen für APIs.

Wertvollster API-Schutz

Erfolgversprechend ist der hohe Stellenwert adaptiver Methoden. Das ist nicht wirklich überraschend, wenn man bedenkt, wie eifrig KI und maschinelles Lernen zur Verbesserung der Sicherheitsdienste eingesetzt werden. Angesichts der Datenmenge und der Auswirkungen, die ein verpasster Angriff haben kann, überrascht es nicht, dass die gesamte Branche auf fortschrittlichere und anpassungsfähigere Sicherheitsmethoden zurückgreift, um alles von der Infrastruktur über die Applications bis hin zum Unternehmen selbst zu schützen.

Sowohl die Identitäts- als auch die Verhaltensanalyse sind wichtige Bestandteile einer umfassenden Sicherheitsstrategie, insbesondere für APIs, da diese in der digitalen Wirtschaft eine immer wichtigere Rolle spielen. Auch die Überprüfung bleibt von zentraler Bedeutung, da viele Angriffe – insbesondere Malware und bösartige Inhalte – häufig problemlos anhand einer eindeutigen Signatur identifiziert werden können, die mit der Nutzlast einer API-Transaktion abgeglichen werden kann. Die Geschwindigkeit der Identifizierung ist ebenso wichtig wie die Zuversicht bei der Identifizierung eines möglichen Angriffs, und die Überprüfung bleibt eine schnelle und zuverlässige Methode zur Identifizierung bösartiger Inhalte.

Schließlich sehen wir einen Einsatz identitätsbezogener Technologien als Folge der durch COVID beschleunigten digitale Transformation. Wir haben die Befragten gefragt, welche Änderungen an ihren Sicherheitsstrategien nach COVID vorgenommen wurden. Mehr als ein Viertel (26 %) hat eine Credential Stuffing -Lösung implementiert und 34 % haben API-Sicherheitsframeworks implementiert.

Die erste Zahl ist für dieses Thema relevant, da es beim Credential Stuffing darum geht, die Identität (Anmeldeinformationen) von Personen in einer digitalen Welt zu schützen. Angesichts des unglaublichen Anstiegs der digitalen Optionen für Unternehmen aller Art im Laufe der Pandemie ist es ermutigend zu sehen, dass zumindest einige ihre Verantwortung zum Schutz der Identität ernst nehmen.

Dabei handelt es sich um einen relativ schnell fortschreitenden Trend im Bereich der Sicherheit und wir gehen davon aus, dass er sich noch weiter verbreiten wird, da Unternehmen ihre Präsenz in der digitalen Wirtschaft weiter ausbauen. Die Bedeutung von APIs erfordert eine genauere Identifizierung der „Benutzer“ von APIs, insbesondere angesichts der wachsenden Bedeutung von APIs in der Automatisierung, in Cloud-nativen Application , in digitalen Ökosystemen und natürlich im IoT. Der Schutz von APIs in einer digitalen Wirtschaft ist nicht nur ein technologisches, sondern auch ein geschäftliches Problem.

Der Trend zeigt aber auch, wie wichtig die Identität in einer digitalen Welt ist und warum es nicht überraschend ist, dass identitätsbezogene Dienste im Jahr 2022 an die Spitze der am häufigsten eingesetzten Application und Bereitstellungstechnologien aufsteigen.

Dieser von unserer Forschung aufgedeckte Wandel hin zur Identität ist auch deshalb von Bedeutung, weil der Markt Zero Trust als grundlegenden Sicherheitsansatz akzeptiert. 40 % der Befragten nannten Zero Trust als den „spannendsten“ Trend oder die „spannendste“ Technologie. Als Architekturmodell konzentriert sich Zero Trust auf die Sicherung und den Schutz von Applications und Infrastrukturen durch die Gestaltung von Netzwerken mit sicheren Mikroperimetern und die Begrenzung von Risiken durch die Einschränkung von Benutzerrechten und -zugriffen.

Im Mittelpunkt von Zero Trust steht eine einfache Frage: Wer sollte Zugriff auf eine Ressource haben? Zwar ist für die Beantwortung dieser Frage und die Durchsetzung der daraus resultierenden Richtlinien im Kern, in der Cloud und am Rand sicherlich noch viel mehr erforderlich, aber ohne Identität fällt der gesamte Ansatz auseinander.

Ob das Thema Identität auch weiterhin oberste Priorität hat, bleibt abzuwarten. Angesichts der Tatsache, dass neue Trends wie Web3 ebenfalls großen Wert auf die Identität als Kernkonstrukt legen, halten wir es jedoch für wahrscheinlich, dass die Verlagerung der Sicherheitsorientierung in Richtung Identität gerade erst beginnt.

Schauen Sie sich zusätzliche Blogs an, um tiefer in ausgewählte Themen einzutauchen:

Stand der Bewerbungsstrategie 2022: Trends der letzten 8 Jahre ›

Stand der Application 2022: Edge-Workloads werden auf Apps und Daten ausgeweitet ›

Stand der Bewerbungsstrategie 2022: Digitale Innovatoren betonen die Bedeutung der Modernisierung ›

Stand der Bewerbungsstrategie 2022: Die Multi-Cloud-Komplexität nimmt weiter zu ›

Stand der Bewerbungsstrategie 2022: Leistungstrends ›

Stand der Bewerbungsstrategie 2022: Zeit für eine Modernisierung des Betriebs ›

Stand der Bewerbungsstrategie 2022: Die Zukunft der Wirtschaft ist anpassungsfähig ›