Da Unternehmen ihre Betriebsabläufe immer stärker in die Cloud verlagern, ist die Bereitstellung robuster Anwendungssicherheitskontrollen, die den besonderen Herausforderungen dieser Umgebung und der sich entwickelnden Bedrohungslandschaft gerecht werden, wichtiger denn je. Ein Paradebeispiel für eine solche Herausforderung ist die mangelnde Geschwindigkeit bei der Behebung von Schwachstellen und Sicherheitsverletzungen.
Laut dem F5 State of Application Strategy Report 2024 sind 50 % der Befragten der Meinung, dass es „zu lange dauert, Patches und Updates auf allen betroffenen Systemen/Softwareprogrammen durchzuspielen, und dass es an Tools oder Prozessen mangelt, um schnell auf Zero-Day-Angriffe zu reagieren.“ Daher überrascht es nicht, dass „Geschwindigkeit“ der größte Vorteil von Security-as-a-Service ist, wenn es um die Gewährleistung der App-Integrität geht.
SecureIQLab hat vor Kurzem seinen 2024 Cloud WAAP CyberRisk Validation Report veröffentlicht und zahlreiche Anbieter von Web Application Firewall und API-Sicherheit bewertet, darunter F5 Distributed Cloud Web Application and API Protection (WAAP).
Sie testeten insbesondere die Sicherheitswirksamkeit, die Betriebseffizienz und die Vermeidung falscher Positivmeldungen und hoben wichtige Unterscheidungsmerkmale für jeden Technologieanbieter hervor. SecureIQLab hat Cloud -WAAP- Lösungen getestet, indem es Anwendungen und APIs 3500 Angriffen von Branchen-Frameworks wie OWASP Top 10 und MITRE ATT&CK aussetzte. Sie validierten 80 Funktionen dieser WAAP-Lösungen, darunter Bereitstellung, Verwaltung und Skalierbarkeit, und setzten damit einen neuen Standard in der Validierung der Cybersicherheit gemäß AMTSO-Standards.
F5 Distributed Cloud Web Application and API Protection (WAAP) erhält als einer von sieben Anbietern, die die WAAP-Schwachstellenbewertung mit der vollen Punktzahl bestanden haben, das Rating „Secure by Design“ von SecureIQLab. Es weist sowohl hinsichtlich der Sicherheitswirksamkeit als auch der Betriebseffizienz hohe Werte auf und erreicht:
Weitere Einblicke in die Testkriterien werden für jeden der bewerteten Hauptsicherheitsbereiche gegeben:
API-Schutz
APIs sind für ähnliche Angriffe anfällig wie Webanwendungen, da sie dieselben Schwachstellen aufweisen, z. B. Injektionsfehler, Authentifizierungsprobleme und das Risiko einer Datenfreigabe aufgrund unzureichender Eingabevalidierung und mangelhafter Sicherheitsmaßnahmen. Der API-Sicherheitstest bewertete die Wirksamkeit der F5 Distributed Cloud API Security bei der Verhinderung unbefugten Zugriffs auf vertrauliche Daten über sechs API-Protokolle hinweg anhand von über 70 Angriffen aus den OWASP API Security Top 10 2023 . Die Bewertungen basierten auf Prozentwerten der Sicherheitswirksamkeit und reichten von 1 bis 5, was auf unterschiedliche Schutzniveaus hinweist. Die Ergebnisse dienen als Grundlage für die API-Sicherheitsstandards der WAAP-Branche. Der Bericht hebt den überdurchschnittlichen OWASP-API-Sicherheitsschutz von F5 hervor.
Bot-Abwehr
Die Fachexperten und Datenwissenschaftler von F5 erforschen kontinuierlich die Tools von Angreifern sowie Verhaltens- und Umgebungssignale und nutzen fortschrittliches maschinelles Lernen, um die Umrüstung von Angreifern schnell zu erkennen und aktualisierte Modelle einzusetzen, um Angriffe in Echtzeit abzuschwächen. F5 Distributed Cloud Bot Defense wurde auf fünf Arten von Bot-Angriffen getestet, darunter zwei von OWASP, die aus Asien und Nordamerika stammen. Dabei stellte sich heraus, dass die Geolokalisierung keinen Einfluss auf die Sicherheitswirksamkeit des Produkts hat; die Bot-Angriffs-Scores lagen zwischen 0 % und 100 %. F5 erhielt beim Bot-Schutz die volle Punktzahl und schnitt deutlich besser ab als der Gruppendurchschnitt.
DDoS-Abwehr
Die Erkennung von Layer 7 Distributed Denial-of-Service (DDoS)- und Layer 7 Denial-of-Service (DoS)-Angriffen unter Verwendung gültiger TCP-Verbindungen stellt eine Herausforderung dar. Beim Testen von F5 Distributed Cloud DDoS Mitigation gegen zwei Layer 7 DDoS-Angriffe und fünf Layer 7 DoS-Angriffe wurden Werte zwischen 57 % und 100 % erreicht.
Operative Belastbarkeit
F5 Distributed Cloud WAAP wurde außerdem einem Betriebsstabilitätstest mit 103 Resilienz-Testfällen unterzogen, bei dem drei einzigartige Angriffsvektoren zum Einsatz kamen, um ungesehene Angriffe zu blockieren. Der Resilienz-Score, der den Prozentsatz der blockierten Angriffe im Verhältnis zur Gesamtzahl darstellt, lag zwischen 54,9 % und 99,3 % und weist damit auf die Fähigkeit des Systems hin, verschiedenen Angriffsvarianten standzuhalten und diese zu absorbieren. F5 erreichte mit einer Blockierungsrate von 99,3 % die höchste Punktzahl und schnitt deutlich besser ab als der Durchschnitt.
Inhärente Sicherheit
SecureIQLab hat die Sicherheit des Cloud-WAAP-Produkts bewertet, um sicherzustellen, dass es die Angriffsfläche geschützter Umgebungen nicht vergrößert und seine Berechtigungen nicht ausgenutzt werden können. F5 Distributed Cloud WAAP wurde anhand von elf Techniken zur Schwachstellenbewertung getestet. Sieben der zwölf WAAP-Lösungen (einschließlich F5) erreichten bei der WAAP-Schwachstellenbewertung die Höchstpunktzahl von 100 %. SecureIQLab bewertet F5 mit einem WAAP Vulnerability Assessment Score von 100 % als „Secure by Design“.
Betriebseffizienz
Für die effektive Bereitstellung und Verwaltung von WAAP-Lösungen ist betriebliche Effizienz von entscheidender Bedeutung, da dadurch eine minimale Ressourcenzuweisung und minimale Betriebskosten gewährleistet werden. SecureIQLab validierte die betriebliche Effizienz der WAF- und API-Sicherheit in verschiedenen Bereichen und verwendete hierfür ein Bewertungssystem auf Basis der Funktionsfähigkeit, um für jede Kategorie umfassende Bewertungen bereitzustellen. So werden Unternehmen bei der Auswahl von Lösungen unterstützt, die die Sicherheit optimieren, ohne Geschäftsabläufe zu stören. SecureIQLab hebt hervor, dass F5 bei seinen API-Operationen eine überdurchschnittliche Betriebseffizienz aufweist und in zwei von sieben Kategorien die volle Punktzahl erreicht.
Vermeidung von Fehlalarmen
WAAP-Lösungen müssen wirksam zwischen legitimen Geschäftstransaktionen und böswilligen Aktivitäten unterscheiden, um Fehlalarme zu vermeiden, die den Geschäftsbetrieb stören können. Die KI/ML-basierte Erkennung böswilliger Benutzer von F5 bietet eine dynamische Risikobewertung und Bewertung potenzieller Bedrohungen auf der Grundlage verhaltens- und signaturbasierter Attribute. Durch Tests mit über 6500 falsch-positiven Fällen, die ein normales Benutzerverhalten simulierten, wurde F5 Distributed Cloud WAAP auf seine Fähigkeit hin untersucht, harmlosen Datenverkehr genau von Bedrohungen zu unterscheiden. Höhere Werte für die Vermeidung falsch-positiver Ergebnisse weisen auf geringere Auswirkungen auf die Betriebseffizienz hin.
Organisationen benötigen umfassende Anwendungssicherheit, die ihren spezifischen Anforderungen entspricht, unabhängig davon, wo ihre Anwendungen und APIs gehostet werden oder wo sich ihre Benutzer befinden. Das hybride SaaS-Bereitstellungsmodell von F5 unterstützt sowohl interne als auch öffentliche Anwendungen und ermöglicht eine erweiterte Bereitstellung in privaten Cloud- und lokalen Umgebungen. Die F5 Distributed Cloud WAAP-Lösung umfasst eine WAF mit KI-/ML-basierter Erkennung böswilliger Benutzer, integrierter API-Erkennung und -Schutz sowie DDoS- und Bot-Abwehr und ermöglicht so umfassenden Web-Anwendungs- und API-Schutz mit zentraler Verwaltung. Angesichts der Vielzahl auf dem Markt erhältlicher Anwendungssicherheitslösungen hilft der Bericht von SecureIQLab dabei, Lösungen mit hoher Wirksamkeit und weniger Fehlalarmen zu identifizieren. Er bietet Kunden klare Hinweise zu den Anbietern, die sie bei der Bewertung potenzieller Lösungen zur Verbesserung ihrer allgemeinen App-Sicherheitslage in Betracht ziehen sollten.
Laden Sie für weitere Einzelheiten den Bericht hier herunter oder wenden Sie sich an F5, um mehr darüber zu erfahren, wie Ihr Unternehmen von F5 Distributed Cloud WAAP profitieren kann.