Glossar

Was ist OWASP? Einführung in die OWASP Top 10 samt Schwachstellen und Risiken

OWASP ist eine gemeinnützige Organisation, die sich für die Verbesserung der Sicherheit von Softwareprodukten einsetzt.

OWASP (Open Worldwide Application Security Project) ist eine offene Community, die es Organisationen ermöglicht, Software für sichere und vertrauenswürdige Anwendungen zu entwerfen, zu entwickeln, zu erwerben, zu betreiben und zu warten. Zu den Programmen gehören von der Community geleitete Open-Source-Softwareprojekte sowie lokale und globale Konferenzen mit Hunderten von Kapiteln weltweit und Zehntausenden von Mitgliedern.

Warum ist OWASP wichtig?

OWASP spielt eine entscheidende Rolle bei der Sensibilisierung für Sicherheitsrisiken von Webanwendungen und bietet wertvolle Ressourcen, Tools, Dokumentationen und Best Practices, um den zunehmenden Herausforderungen der Sicherheit von Webanwendungen zu begegnen. OWASP hilft Entwicklern, Sicherheitsexperten und Organisationen, potenzielle Bedrohungen zu verstehen und bewährte Sicherheitspraktiken anzuwenden.

OWASP führt eine Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen sowie effektive Prozesse, Verfahren und Kontrollen zu deren Eindämmung. OWASP bietet auch eine Liste der 10 kritischsten API-Sicherheitsrisiken, um die an der API-Entwicklung und -Wartung Beteiligten zu schulen und das Bewusstsein für häufige Schwachstellen der API-Sicherheit zu schärfen.

Die OWASP-Community ermutigt Einzelpersonen und Organisationen, sich an ihren Projekten und Ressourcen zu beteiligen. Dieser auf Zusammenarbeit und Umfragen basierende Ansatz ermöglicht es der Community, das kollektive Wissen und die Expertise ihrer Mitglieder zu nutzen, was zu umfassenden und aktuellen Ressourcen führt.

Es gibt Sicherheitsrisiken, die sowohl Anwendungen als auch APIs gemeinsam sind und bei der Implementierung von Sicherheitslösungen berücksichtigt werden sollten. Zum Beispiel: 

  • Schwache Authentifizierungs-/Autorisierungskontrollen
  • Fehlkonfiguration
  • Missbräuchliche Nutzung der Geschäftslogik (Credential Stuffing, Account Takeover)
  • Serverseitige Anfragenfälschung (SSRF, Server-Side Request Forgery).

 

OWASP Top 10 der Anwendungssicherheitsrisiken

Die OWASP Top 10 umfasst eine weithin anerkannte Liste der kritischsten Sicherheitsrisiken für Webanwendungen. Die Liste dient als Leitfaden für Entwickler, Sicherheitsexperten und Organisationen zur Priorisierung ihrer Bemühungen bei der Identifizierung und Minderung kritischer Sicherheitsrisiken für Webanwendungen.

Das Vorhandensein eines Risikos auf der OWASP Top 10-Liste gibt nicht unbedingt seine Prävalenz oder Schwere in allen Webanwendungen an, und die Top 10 werden nicht in einer bestimmten Reihenfolge oder nach Priorität eingestuft.

Die OWASP Top 10 der Sicherheitsrisiken für Webanwendungen 2021 sind:

  1. Fehlerhafte Zugriffskontrollen. Diese Schwachstelle entsteht, wenn eine unzureichende Durchsetzung von Zugriffskontrollen und Autorisierungsmaßnahmen Angreifern den Zugriff auf nicht autorisierte Funktionen oder Daten ermöglicht. Dies kann auf unsichere direkte Objektreferenzen (IDORs, Insecure Direct Object References) zurückzuführen sein. Diese entstehen, wenn eine Anwendung Benutzereingaben, die als direkter Verweis auf ein internes Objekt verwendet werden, nicht validiert oder autorisiert. Sie können ebenfalls aufgrund fehlender Zugriffskontrollen auf Funktionsebene auftreten, wenn die Anwendung Zugriffskontrollen nur in der anfänglichen Authentifizierungs- oder Autorisierungsphase validiert, diese Kontrollen jedoch nicht in allen Funktionen oder Vorgängen der Anwendung durchgängig durchgesetzt werden. Eine Webanwendungs-Firewall (WAF) kann zum Schutz vor diesen Angriffen beitragen, indem sie Zugriffskontrollen überwacht und durchsetzt, um den unberechtigten Zugriff auf vertrauliche Objekte oder Ressourcen zu verhindern.

  2. Kryptographische Fehler. Dieses Risiko entsteht durch einen unzureichenden Schutz vertraulicher Daten bei der Übertragung und im Ruhezustand. Kryptographische Fehler können zu Datenschutzverletzungen, unberechtigtem Zugriff auf vertrauliche Informationen und der Nichteinhaltung von Datenschutzbestimmungen wie der EU-Datenschutz-Grundverordnung (DSGVO) und Finanzstandards wie den PCI Data Security Standards (PCI DSS) führen. Diese Fehler können auf eine unsichere kryptographische Speicherung, die Speicherung von Daten im Klartext oder eine unsichere Schlüsselverwaltung zurückzuführen sein. Das Risiko kann auch von Informationslecks herrühren, die durch eine schwache Schlüssel- oder Zufallszahlengenerierung oder Fehler in kryptographischen Protokollen entstehen können.
  3. Einschleusungen. Einschleusungen treten auf, wenn Angreifer nicht vertrauenswürdige oder feindliche Daten in Befehls- oder Abfragesprachen einfügen oder wenn vom Benutzer bereitgestellte Daten von der Anwendung nicht validiert, gefiltert oder bereinigt werden, was zur unbeabsichtigten Ausführung schädlicher Befehle führt. Diese Risikokategorie umfasst NoSQL-, OS-Command-, LDAP- und SQL-Einschleusungen sowie Cross-Site-Scripting (XSS), bei dem Angreifer bösartige clientseitige Skripte wie JavaScript in Websites einfügen, die von anderen Benutzern aufgerufen werden. Dies kann zum Diebstahl vertraulicher Daten wie Anmeldedaten, personenbezogenen Daten oder Sitzungscookies führen. Eine WAF kann dazu beitragen, schädliche Code-Einschleusungsversuche zu erkennen und zu blockieren, indem sie eingehende Anfragen überprüft und filtert, einschließlich reflektiertes (nicht persistentes), gespeichertes (persistentes) und Dokumentobjektmodul (DOM)-basiertes XSS. So kann verhindert werden, dass diese Angriffe die Anwendung erreichen.
  4. Unsicherer Entwurf. Hierbei handelt es sich um eine breite Kategorie verschiedener Schwachstellen, die sich durch fehlende oder ineffektive Sicherheitskontrollen und architektonische Fehler auszeichnen. Diese Fehler können auftreten, wenn eine Anwendung so entworfen wurde, dass sie sich auf Prozesse stützt, die von Natur aus unsicher sind, oder wenn erforderliche Sicherheitskontrollen zur Abwehr bestimmter Angriffe nicht implementiert sind. Diese Risiken können durch den verstärkten Einsatz von Bedrohungsmodellen, sicheren Entwurfsmustern und Referenzarchitekturen verringert werden.  
  5. Sicherheitsrelevante Fehlkonfigurationen. Ein Mangel an Sicherheitshärtung in Webanwendungs-Frameworks, auf Plattformen, auf Servern oder bei Sicherheitskontrollen kann zu unberechtigtem Zugriff, der Offenlegung vertraulicher Informationen oder anderen Sicherheitslücken führen. Risiken aufgrund von sicherheitsrelevanten Fehlkonfigurationen können sich auch aus falsch konfigurierten Berechtigungen für Cloud-Dienste oder der Installation oder Aktivierung unnötiger Funktionen wie ungenutzte Ports, Dienste, Konten oder Berechtigungen ergeben. Eine Fehlkonfiguration stellt sowohl für Webanwendungen als auch für APIs ein erhebliches Risiko dar, da große Cloud-Anbieter unterschiedliche Standardeinstellungen in Bezug auf die Sicherheit aufweisen und die Architektur zunehmend dezentralisiert und über eine Multi-Cloud-Umgebung verteilt wird.    
  6. Anfällige und veraltete Komponenten. Die Verwendung veralteter, nicht gepatchter oder anfälliger Komponenten wie Bibliotheken, Frameworks oder Plug-ins kann Anwendungen bekannten Sicherheitslücken aussetzen und das Risiko einer Ausnutzung erhöhen. Diese Risiken können sich aus nicht unterstützter oder veralteter Software ergeben, einschließlich Betriebssystem (OS), Web-/Anwendungsserver, Datenbankmanagementsystem (DBMS), Anwendungen, APIs und allen Komponenten, Laufzeitumgebungen und Bibliotheken. Diese Bedrohungen sind besonders gefährlich, wenn Unternehmen keine rechtzeitigen, risikobasierten Maßnahmen ergreifen, um die zugrunde liegenden Plattformen, Frameworks und Abhängigkeiten eines Systems zu schützen oder zu aktualisieren, sodass das System über Tage oder Woche unnötigen Risiken ausgesetzt ist. Komplexe Software-Lieferketten und Automatisierungen über CI/CD-Pipelines erhöhen das Risiko der Einführung anfälliger Software in den IT-Stack. Eine WAF kann als kritischer Schutz vor der Ausnutzung von Schwachstellen dienen.  
  7. Fehler bei der Identifizierung und Authentifizierung. Durch Schwachstellen in der Authentifizierung, Identität und Sitzungsverwaltung können Angreifern Benutzerkonten, Passwörter und Sitzungstoken kompromittieren oder sich die unsichere Sitzungsverarbeitung zunutze machen. Fehler in diesen Bereichen können automatisierte Angriffe wie das Credential Stuffing ermöglichen. Passwortbezogene Schwachstellen stellen die häufigste Quelle für diese Risiken dar, da viele Menschen Passwörter wiederverwenden oder Standard-, schwache oder bekannte Passwörter verwenden. Probleme bei der Sitzungsverwaltung können auch zu Angriffen im Zusammenhang mit der Authentifizierung führen, insbesondere wenn Benutzersitzungen oder Authentifizierungstoken während der Abmeldung oder eines Zeitraums der Inaktivität nicht ordnungsgemäß außer Kraft gesetzt werden. Angriffe, die Authentifizierungskontrollen umgehen, stellen ein zunehmendes Risiko für Webanwendungen und APIs dar, wie in den Projekten OWASP Top 10, Top 10 der API-Sicherheit und automatisierte Bedrohungen beschrieben.
  8. Software- und Datenintegritätsfehler. Diese Schwachstellen entstehen, wenn Anwendungscode und Infrastruktur nicht vor Integritätsverletzungen von Daten und Software geschützt sind. Zu dieser Situation kommt es, wenn eine Anwendung auf Plug-ins, Bibliotheken oder Module aus nicht vertrauenswürdigen Quellen, Repositorys und CDNs angewiesen ist. Dieser Fall kann auch bei Software-Updates, Änderungen an vertraulichen Daten und CI/CD-Pipeline-Änderungen eintreten, wenn diese nicht validiert werden. Angreifer könnten ihre eigenen Updates hochladen, die auf allen Installationen verteilt und ausgeführt werden. Die unsichere Deserialisierung, bei der eine Anwendung nicht vertrauenswürdige serialisierte Daten verwendet und diese Daten verarbeitet, ohne deren Gültigkeit sicherzustellen, gehört ebenfalls zu dieser Risikokategorie und ermöglicht Angriffe wie Code-Ausführung aus der Ferne (RCE, Remote Code Execution) und Rechteausweitung. 
  9. Fehler bei der Sicherheitsprotokollierung und -überwachung. Eine unzureichende Protokollierung und Überwachung kann die rechtzeitige Erkennung von und Reaktion auf Sicherheitsvorfälle behindern sowie die Identifizierung und Abwehr von Angriffen oder nicht autorisierten Aktivitäten erschweren. Dies kann bedeuten, dass überprüfbare Ereignisse wie Anmeldungen, fehlgeschlagene Anmeldungsversuche und hochwertige Transaktionen nicht identifiziert oder protokolliert werden und dass Anwendungen aktive Angriffe nicht in Echtzeit erkennen.  
  10. Serverseitige Anfragenfälschung (SSRF, Server-Side Request Forgery). Diese Schwachstelle entsteht, wenn eine Anwendung eine von einem Benutzer eingegebene URL nicht überprüft oder bereinigt, bevor Daten von einer Remote-Ressource abgerufen werden. Angreifer können diese Schwachstellen nutzen, um Anwendungen zu zwingen, auf schädliche Webinhalte zuzugreifen, auch wenn sie durch eine Firewall oder andere Abwehrmaßnahmen geschützt sind. Zu diesen Angriffen kann es auch kommen, wenn die ins Visier genommene Ressource Vertrauensbeziehungen zu anderen Systemen hat, wie z. B. einem Cloud-Metadatendienst oder Backend-APIs, die es einem Angreifer ermöglichen, Anfragen an diese vertrauenswürdigen Dienste zu stellen und vertrauliche Informationen zu extrahieren oder nicht autorisierte Aktionen auszuführen. Entwerfen Sie Systeme zur SSRF-Abwehr mit einem „Least Privilege“-Ansatz und verwenden Sie eine WAF, um die URI-Parameter (Uniform Resource Identifier, einheitliche Ressourcenkennung) in Ihrer Sicherheitsrichtlinie explizit zu definieren und Hosts, die darauf zugreifen können, zu genehmigen bzw. zu verbieten.

Die OWASP Top 10 2021 umfassen einige neue Kategorien und Namensänderungen im Vergleich zu den vorherigen OWASP Top 10 2017. Diese Änderungen beinhalteten die Integration der Risikobedrohung „XML External Entities (XXE)“ aus dem Jahr 2017 in die Kategorie „Sicherheitsrelevante Fehlkonfiguration“ aus dem Jahr 2021 und das Hinzufügen der Bedrohung „Cross-Site-Scripting (XSS)“ aus dem Jahr 2017 zur Kategorie „Einschleusung“ aus dem Jahr 2021. Das Risiko „Unsichere Deserialisierung“ aus dem Jahr 2017 ist jetzt Teil der Kategorie „Software- und Datenintegritätsfehler“ aus dem Jahr 2021.    

Weitere OWASP-Veröffentlichungen

OWASP sponsert derzeit 293 Projekte, darunter die folgenden 16 OWASP-Hauptprojekte, die OWASP und der Anwendungssicherheit insgesamt einen strategischen Mehrwert bieten.

  1. OWASP Amass-Projekt, das ein Tool entwickelt hat, mit dem IT-Sicherheitsexperten das Netzwerk-Mapping von Angriffsflächen und die Erkennung externer Assets mithilfe von Open-Source-Informationserfassung und aktiven Erkundungstechniken durchführen können. 
  2. OWASP Application Security Verification Standard-Projekt (ASVS), das eine Grundlage für das Testen der technischen Sicherheitskontrollen von Webanwendungen bietet und Entwicklern eine Liste von Anforderungen an eine sichere Entwicklung zur Verfügung stellt.  
  3. OWASP Cheat Sheet Series, die erstellt wurde, um eine Reihe von einfach zu befolgenden Good-Practice-Leitfäden für Anwendungsentwickler und Anwendungsschutzexperten bereitzustellen. Anstatt sich auf detaillierte Best Practices zu konzentrieren, die sich für viele Entwickler und Anwendungen als unpraktisch erweisen, lassen sich diese Good Practices von der Mehrheit der Entwickler tatsächlich implementieren.
  4. OWASP CycloneDX ist ein Full-Stack-Standard für die Stückliste (BOM), der erweiterte Lieferkettenfunktionen zur Reduzierung von Cyberrisiken bietet.   
  5. OWASP Defectdojo ist ein Open-Source-Tool für das Schwachstellenmanagement, das den Testprozess durch die Bereitstellung von Vorlagen, Berichterstellung, Metriken und grundlegenden Self-Service-Tools rationalisiert. 
  6. OWASP Dependency-Check ist ein Tool zur Analyse der Softwarezusammensetzung (SCA, Software Composition Analysis), das öffentliche bekannt gewordene Schwachstellen erkennen soll, welche in den Abhängigkeiten eines Projekts enthalten sind. Dafür wird überprüft, ob eine CPE-Kennung (Common Platform Enumeration) für eine bestimmte Abhängigkeit vorhanden ist. Im Falle eines Treffers wird ein Bericht erstellt, der mit den zugehörigen CVE-Einträgen (Common Vulnerabilities and Exposures) verknüpft ist.
  7. OWASP Dependency-Track ist eine intelligente Komponentenanalyseplattform, mit der Unternehmen Risiken in der Software-Lieferkette identifizieren und reduzieren können.
  8. OWASP Juice Shop, die wahrscheinlich modernste und raffinierteste unsichere Webanwendung, die in Sicherheitsschulungen, Sensibilisierungsdemos, Capture-the-Flag-Wettbewerben und als Versuchskaninchen für Sicherheitstools verwendet wird. Juice Shop umfasst Schwachstellen aus den gesamten OWASP Top Ten sowie viele andere Sicherheitslücken aus realen Anwendungen.   
  9. OWASP Mobile Application Security ist das Vorzeigeprojekt von OWASP zur Bereitstellung eines Sicherheitsstandards für mobile Apps. Es enthält auch einen umfassenden Testleitfaden, der die während der Sicherheitstests für mobile Apps verwendeten Prozesse, Techniken und Tools abdeckt, sowie eine umfassende Reihe von Testfällen, mit deren Hilfe Tester konsistente und vollständige Ergebnisse erhalten.
  10. OWASP ModSecurity Core Rule Set beinhaltet eine Reihe allgemeiner Angriffserkennungsregeln zur Verwendung mit ModSecurity oder kompatiblen Webanwendungs-Firewalls. Das Ziel von CRS besteht im Schutz von Webanwendungen vor einer Vielzahl von Angriffen, einschließlich der OWASP Top Ten, bei gleichzeitiger Gewährleistung eines Minimums an Fehlalarmen.   
  11. OWASP-Projekt OWTF (Offensive Web Testing Framework) ist ein Open-Source-Framework für Penetrationstests von Webanwendungen, das entwickelt wurde, um die Sicherheit von Webanwendungen zu bewerten und zu testen. Das Hauptziel von OWTF besteht darin, Sicherheitsexperten und Penetrationstester dabei zu unterstützen, den Prozess der Bewertung und des Testens von Webanwendungen auf Schwachstellen zu automatisieren, damit Sicherheitslücken effektiver identifiziert und behoben werden.
  12. OWASP SAMM (Software Assurance Maturity Model) bietet eine effektive und messbare Möglichkeit zur Analyse und Verbesserung der sicheren Modellierung des Entwicklungslebenszyklus. SAMM unterstützt den kompletten Lebenszyklus der Software und arbeitet unabhängig von Technologien und Prozessen.  
  13. OWASP Security Knowledge Framework ist eine Webanwendung, die sichere Programmierungsprinzipien in mehreren Programmiersprachen erklärt und Entwicklern helfen soll, von Grund auf sichere Anwendungen zu erstellen.
  14. OWASP Security Shepherd ist eine Schulungsplattform für die Sicherheit von Webanwendungen und mobilen Apps, die das Sicherheitsbewusstsein einer vielfältigen Zielgruppe fördern und verbessern soll. Das Ziel dieses Projekts ist es, die Fähigkeiten von Neulingen im Bereich der Anwendungssicherheit oder von erfahrenen Ingenieuren im Rahmen von Penetrationstests auf den Status eines Sicherheitsexperten zu bringen.
  15. OWASP Web Security Testing Guide ist ein umfassender Leitfaden zum Testen der Sicherheit von Webanwendungen und Webdiensten. Dieser bietet einen Rahmen für Best Practices, die von Penetrationstestern und Organisationen auf der ganzen Welt verwendet werden.
  16. OWASP ZAP ist ein Tool zum Testen der Sicherheit von Webanwendungen, das Sicherheitsexperten und Entwicklern helfen soll, Sicherheitslücken in Webanwendungen während der Entwicklungs- und Testphasen zu identifizieren und zu mindern.   

Der Fall für integrierte Sicherheitskontrollen

OWASP spielt eine entscheidende Rolle bei den kontinuierlichen Bemühungen zur Verbesserung der Softwaresicherheit, indem das Bewusstsein für Sicherheitsrisiken von Webanwendungen geschärft und Best Practices für Entwickler, Sicherheitsexperten und Organisationen gefördert werden. Als gemeinschaftlich betriebenes Projekt bringt OWASP Experten und Enthusiasten zusammen, damit diese zur Verbesserung der Sicherheit von Webanwendungen zusammenarbeiten und so zur Schaffung einer sicherheitsbewussten Kultur beitragen, die sichere Programmierungspraktiken und Entwicklungsmethoden fördert.

Darüber hinaus bietet OWASP eine Fülle von kostenlosen Open-Source-Tools, -Dokumenten und -Ressourcen, mit denen Unternehmen ihre Sicherheitslage verbessern können, einschließlich der OWASP Top 10, der OWASP Top 10 der API-Sicherheit und des Projekts zu automatisierten Bedrohungen für Webanwendungen. Weitere OWASP-Initiativen umfassen Folgendes:

  • Das OWASP Bug Logging Tool (BLT), mit dem Internetnutzer Probleme melden können, auf die sie online stoßen, und das zur Verbesserung der Internetsicherheit beiträgt, indem es eine verantwortungsvolle Offenlegung und sicherere Online-Umgebung fördert. 
  • OWASP CSRFGuard ist eine Bibliothek, die Webanwendungen vor CSRF-Angriffen (Cross-Site Request Forgery) schützt.
  • Dabei handelt es sich um eine Reihe von Repositorys auf GitHub, einschließlich der Cheat Sheet Series, die eine hochwertige Sammlung prägnanter Informationen zu bestimmten Anwendungssicherheitsthemen bietet. 
  • OWASP Top 10 der clientseitigen Sicherheitsrisiken umfasst eine Zusammenstellung spezifischer Schwachstellen, die browserseitigen Anwendungen gemeinsam sind. 
  • OWASP Top 10 der Cloud-nativen Anwendungssicherheit ist ein Projekt, das sich noch in der Entwicklung befindet und Informationen über die wichtigsten Sicherheitsrisiken für Cloud-native Anwendungen, die damit verbundenen Herausforderungen und deren Bewältigung bietet. 

Beteiligen Sie sich, indem Sie Mitglied von OWASP werden oder an einem lokalen Chapter-Meeting teilnehmen, das sowohl für Mitglieder als auch für Nichtmitglieder kostenlos und offen ist. Darüber hinaus veranstaltet OWASP jedes Jahr fast ein Dutzend globaler und regionaler Veranstaltungen, die großartige Möglichkeiten bieten, Ihre beruflichen Fähigkeiten zu verbessern, Ihr berufliches Netzwerk aufzubauen und sich über neue Trends in der Branche zu informieren.

F5 geht die OWASP-Sicherheitsrisiken an

F5 unterstützt die OWASP Foundation und ihr Bestreben zur Verbesserung der Softwaresicherheit sowie zur Sensibilisierung für Sicherheitsrisiken und Schwachstellen von Webanwendungen. F5 Web Application Firewall-Lösungen blockieren und mindern ein breites Spektrum von Risiken, die sich aus den OWASP Top 10 ergeben.

F5 WAF-Lösungen kombinieren Signatur- und Verhaltensschutz, einschließlich Bedrohungsdaten von F5 Labs und ML-basierter Sicherheit, um mit aufkommenden Bedrohungen Schritt zu halten. Die Lösung erleichtert die Last und die Komplexität der konsistenten Sicherung von Anwendungen in der Cloud, vor Ort und an Edge-Standorten bei gleichzeitiger Vereinfachung der Verwaltung über eine zentralisierte SaaS-Infrastruktur. F5 WAFs optimieren zudem die Anwendungssicherheit, indem sie Schutzmaßnahmen in Entwicklungs-Frameworks und CI/CD-Pipelines mit grundlegenden Sicherheitsfunktionen, zentraler Orchestrierung und einem einzigen Dashboard samt umfassender Übersicht über Anwendungsleistung und Sicherheitsereignisse in verteilten Anwendungen integrieren. 

F5 geht zudem die in den OWASP Top 10 der API-Sicherheit identifizierten Risiken mit Lösungen an, welche Schutz vor der wachsenden Angriffsfläche und neuen Bedrohungen bieten, während sich die Anwendungen weiterentwickeln und die API-Bereitstellungen zunehmen. F5 Web Application and API Protection (WAAP)-Lösungen schützen die gesamte Angriffsfläche moderner Anwendungen mit umfassenden Schutzmaßnahmen, darunter WAF, API-Sicherheit, DDoS-Abwehr auf L3–L7 und Bot-Abwehr gegen automatisierte Bedrohungen und Betrug. Die verteilte Plattform erleichtert die Bereitstellung konsistenter Richtlinien sowie die Skalierung der Sicherheit für Ihre gesamte Palette von Anwendungen und APIs, unabhängig davon, wo diese gehostet werden, und integriert Sicherheitsmaßnahmen in den API-Lebenszyklus und in breitere Ökosysteme.

Darüber hinaus bietet F5 Lösungen zur Bewältigung der im OWASP-Projekt zu automatisierten Bedrohungen für Webanwendungen beschriebenen Risiken. F5 Distributed Cloud Bot Defense verhindert eine betrügerische und missbräuchliche Nutzung, welche bestehende Bot-Management-Lösungen umgehen kann, und bietet Echtzeitüberwachung, Bedrohungsdaten sowie ML-basierte retrospektive Analysen, um Unternehmen vor automatisierten Angriffen zu schützen, ohne dass es zu Reibungspunkten für Benutzer kommt oder das Kundenerlebnis gestört wird. Distributed Cloud Bot Defense behält seine Wirksamkeit bei, unabhängig davon, auf welche Weise Umrüstungen vorgenommen werden, ob die Angriffe von Webanwendungen zu APIs wechseln oder die Angreifer versuchen, Abwehrmaßnahmen gegen die Automatisierung durch Spoofing von Telemetrie oder den Einsatz von menschlichen CAPTCHA-Lösern zu umgehen.

F5 bietet auch einen mehrstufigen DDoS-Schutz für eine erweiterte Online-Sicherheit in Form eines verwalteten, aus der Cloud bereitgestellten Schutzdienstes an, der groß angelegte Angriffe auf Netzwerke, Protokolle und Anwendungen in Echtzeit erkennt und abwehrt. Die gleichen Schutzmaßnahmen sind auch für lokale Hardware-, Software- und Hybridlösungen verfügbar. F5 Distributed Cloud DDoS Mitigation bietet Schutz vor volumetrischen und anwendungsspezifischen Angriffen auf Ebene 3–4 sowie vor fortgeschrittenen Angriffen auf Ebene 7, bevor diese Ihre Netzwerkinfrastruktur und Anwendungen erreichen.