Stand der Anwendungsstrategie: Wer sollte Ihre API-Sicherheitsstrategie vorantreiben?
Es gibt mindestens drei gute Antworten und einige nicht so gute.
Die Strategie liegt, insbesondere wenn es um Technologie geht, oft auf den Schultern der Führungskräfte. Wenn es um sicherheitsrelevante Strategien geht, ist dies häufig der CISO oder, falls es eine solche Rolle nicht gibt, der CIO.
Einige Organisationen delegieren die Verantwortung für die Umsetzung von API-Sicherheitsstrategien jedoch an andere Rollen. Entwickler, SREs und sogar Netzwerkprofis verfügen heute möglicherweise über die Strategie zur Sicherung von APIs.
Das liegt vielleicht daran, dass es keine wirkliche Forschung zu den möglichen Folgen dieser Entscheidungen gibt. Schließlich gibt es für Entwickler gute Gründe, eine API-Sicherheitsstrategie zu verfolgen, und es gibt auch gute Gründe, diese Verantwortung jedem zu übertragen, der in irgendeiner Weise mit einer API in Berührung kommt, sei es während der Entwicklung, des Tests oder der Produktion.
Im Rahmen unserer jüngsten Untersuchung zur API-Sicherheit haben wir jeden unserer Teilnehmer (allesamt Entscheidungsträger im Bereich API-Sicherheit) gefragt, welche Rollen in ihrer Organisation für die Entwicklung der API-Sicherheitsstrategie verantwortlich sind. Wir fanden gemischte Antworten, von Entwicklern über Netzwerkexperten bis hin zu organisationsübergreifenden Ansätzen.
Wir haben aber auch nach einigen grundlegenden Details zu den Arten von Sicherheitsdiensten gefragt, die Organisationen zum Sichern von APIs verwenden. Dies sind Dienste wie DDoS-Schutz, Zugriffskontrolle, mTLS und SSL. Wir haben die Bereitstellung dieser Dienste als konkrete Darstellung der strategischen Umsetzung verwendet, da sie zu den Kontrollen gehören, die zur Durchsetzung von aus einer Sicherheitsstrategie abgeleiteten Richtlinien erforderlich sind. Anschließend haben wir uns angesehen, welche dieser Dienste bereitgestellt wurden, basierend darauf, wer die API-Sicherheitsstrategie vorantreibt.
Ehrlich gesagt waren wir von den Ergebnissen verblüfft.
Es zeigte sich, dass der umfassendste Satz an Diensten bereitgestellt wurde, wenn die API-Sicherheitsstrategie eine organisationsübergreifende Verantwortung darstellt, dicht gefolgt von der allgemeineren Sicherheitsorganisation und der CIO/CISO-Leitung.
Vielleicht noch beunruhigender ist, dass die API-Sicherheit erst in der Testphase des API-Lebenszyklus integriert wird, wenn SREs die Sicherheitsstrategie vorantreiben. Wenn andere Entscheidungen zur führenden API-Sicherheitsstrategie getroffen werden, beginnt die Einbindung der API-Sicherheit weitgehend entweder in der Entwurfs- oder in der Entwicklungsphase. Selbst wenn Netzwerkteams die API-Sicherheitsstrategie vorantreiben, sagen sie uns, dass die Entwicklung die Phase ist, in der die API-Sicherheit integriert werden muss.
Die gute Nachricht ist, dass die meisten Organisationen einem dieser drei Gremien die Verantwortung für die Definition der API-Sicherheitsstrategie übertragen. Lediglich 8 % übergeben die Aufgabe an Entwickler, noch weniger (3 %) erwarten, dass sich Netzwerkprofis darum kümmern, und nur 1 % delegieren diese Aufgabe an SREs.
Dies stimmt eng mit der Domäne überein, der die API-Sicherheit zugewiesen ist. Denn diese Entscheidung wird maßgeblich davon beeinflusst, wer die Strategie vorantreibt. Wenn die API-Sicherheitsstrategie von der CIO/CISO-Leitung vorangetrieben oder unternehmensübergreifend betrachtet wird, verteilt sich die API-Sicherheit letztlich auf vier typische Domänen: API-Verwaltung, Anwendungssicherheit, Netzwerk und Sicherheit, jedoch getrennt von der Anwendungssicherheit. Angesichts der Tatsache, dass die Dienste, die APIs verteidigen und schützen, mehrere Domänen umfassen können, ist dies sinnvoll.
Wenn Ihr Unternehmen also die API-Sicherheitsstrategie der CIO/CISO-Leitung oder der Sicherheitsabteilung überträgt oder sie als organisationsübergreifende Verantwortung betrachtet, herzlichen Glückwunsch! Ihr strategischer Ansatz führt zu umfassenden Sicherheitskontrollen durch Sicherheitsdienste, die APIs vor einer Vielzahl von Angriffen schützen.
Sie können noch tiefer in das geheime Leben der APIs eintauchen, indem Sie die heutige Pressemitteilung lesen und sich unseren neuesten Bericht holen. Darin finden Sie noch mehr erschreckende Statistiken, erfahren aber auch mehr über die Art und Weise, wie APIs tatsächlich in Unternehmen eingesetzt werden, sowie über die Sicherheitsfunktionen, die Organisationen für wichtig erachten, um die Sicherheit von APIs zu gewährleisten.