PingIntelligence für APIs ist jetzt verfügbar

Back
12. September 2018
Andrew Goodman
Sr. Product Marketing Manager

Vor gut drei Monaten haben wir auf der Identiverse die Übernahme von Elastic Beam bekannt gegeben – ein Start-up, der auf künstliche Intelligenz (KI) setzt, um der wachsenden Flut an ständig neuen API-Angriffen Paroli zu bieten.  



Umso mehr freut es uns, heute bekanntgeben zu können, dass PingIntelligence for APIs ab sofort allgemein verfügbar ist. PingIntelligence for APIs stattet jede Art von API-Infrastruktur mit wegweisenden Online-Sicherheitsfeatures aus. Das schließt Gateways ebenso ein wie direkt in App-Servern installierte APIs.


Now GA: 


Die API-Sicherheit von heute

Für grosse Unternehmen sind APIs ein entscheidender Faktor, um ihre digitale Transformation erfolgreich voranzutreiben. Private (oder nur auf Einladung zugängliche) APIs können bei reduzierten Entwicklungskosten die Integration vereinfachen und bieten Unternehmen zudem die Möglichkeit, bestehende Datenquellen zu nutzen. Öffentliche (oder offene) APIs können die Time-to-Value eines Produkts beschleunigen und gleichzeitig neue Geschäftsmodelle und Branchen-Ökosysteme unterstützen. Die transformative Natur dieser Technologie sorgt dabei für einen rasanten Anstieg der API-Nutzung. Viele Experten sind sich aber auch einig, dass Unternehmen, die derzeit eine schnelle, organisationsweite API-Nutzung forcieren, oft dazu neigen, die besonderen Schwachstellen, die durch APIs verursacht werden können, zu übersehen.


„Bis 2022 wird der missbräuchliche API-Zugriff die häufigste Angriffsform sein, die Datenpannen in den Web-Apps von Unternehmen verursacht.“ Gartner Research, „How to Build an Effective API Security Strategy“


Zur Ehrenrettung aIl der Entwickler, die mithilfe von APIs die digitale Transformation vorantreiben, sei hier angemerkt, dass sie keineswegs das sprichwörtliche Scheunentor weit offenstehen lassen. So hat Gartner herausgefunden, dass die Mehrzahl (64 % der Umfrageteilnehmer) bei den sogenannten Full Life Cycle API Management Solutions auf wegweisende Tools für die API-Zugangskontrolle setzt, oft in Verbindung mit OAuth 2.0.


Source: Critical Capabilities for Full Life Cycle API Management, Gartner Research


Zusätzlich zur Zugangskontrolle mit API-Authentifizierung und -Autorisierung nutzen manche Unternehmen auch Sicherheitslösungen von API-Gateway- und Web-Application-Firewall (WAF)-Anbietern, wie Transportsicherheit (TLS/SSL), Traffic-Drosselung sowie Content-Prüfung und -Validierung. Zusammengenommen ergibt das eine Art Grundausstattung zum Schutz von APIs gegen Angreifer – mehr aber auch nicht. Eine solide Sicherheitslösung sieht anders aus.

 

APIs und richtlinienbasierte Sicherheit: leider nicht ausreichend

APIs breiten sich in großen Unternehmen so schnell aus, das die Sicherheitsteams kaum Schritt halten können Befolgt man die Richtlinien für eine sichere Entwicklung von Web-Apps, kann das die Entwicklungsdauer um Wochen verlängern, da diese einfach nicht für die extrem kurzen Veröffentlichungszyklen von API-Entwicklern gedacht sind. Viele setzen deshalb auf Anwendungsrisiken basierende Richtlinien, um den Prozess zu beschleunigen. Da sich APIs und ihre Nutzung aber stark voneinander unterscheiden können, ist auch diese Vorgehensweise keine Lösung. So können Hunderte von Schreibtransaktionen an einem Tag bei einer API völlig normal sein, während sie bei einer anderen klar auf einen Angriff hindeuten können. Abhängig vom Client, können aber selbst Tausende Schreibtransaktionen auf derselben API für ein ganz normales Verhaltensmuster stehen.

 

Diese Vielschichtigkeit bei der Nutzung gilt auch für Traffic-Art und -Volumen, Session-Länge, Authentifizierungstyp, Client-Typ und vieles mehr. Das aber stellt für richtlinienbasierte API-Sicherheitslösungen (einschließlich Gateways) ein ernst zu nehmendes Problem dar. Sind die Richtlinien zu streng, leidet der Anwender. Sind sie zu lax, drohen Sicherheitsverletzungen. Doch wie soll man optimale Richtlinienvorlagen erstellen, wenn Tag für Tag eine Vielzahl neuer APIs in den Unternehmensnetzwerken auftaucht?

 

Natürlich können Sicherheitsteams für jede einzelne API eine individuelle Richtlinie entwickeln. Das aber würde die Komplexität ebenso wie die Kosten in die Höhe schießen lassen und zudem die Bereitstellung neuer APIs verzögern. Laut dem Cloud Elements State of API Integration Report 2018 werden über 50 % der API-Neuintegrationen in unter 30 Tagen fertiggestellt.



Bei alldem haben wir noch nicht berücksichtigt, dass Richtlinien oft mit Blick auf bekannte Schwachstellen – wie den OWASP Top 10-Sicherheitsrisiken – implementiert werden. Viele der jüngsten Angriffe sind aber extrem raffiniert und nutzen neue, einzigartige API-Angriffsvektoren, die von richtlinienbasierten Lösungen gern übersehen werden. Hacker nutzen für ihre API-Angriffe bereits in verstärktem Masse Künstliche Intelligenz, um richtlinienbasierte „Strassensperren“ automatisch zu umgehen. Wenn aber Cyberkriminelle KI einsetzen, müssen Abwehrsysteme ebenfalls auf KI zurückgreifen, um effizient zu bleiben.

 

API-Sicherheit ist ein Big Data-Problem

Eine Umfrage zum Thema API-Sicherheit von Distil Networks ergab, dass 44 % der Befragten über 50 Stunden pro Monat in die Überwachung oder Einstellung der Ratenbegrenzung investieren. Warum? Weil die IT- und Sicherheitsexperten versuchen, Sicherheit, Anwendererfahrung und die Anforderungen des Tagesgeschäfts manuell in Einklang zu bringen. Die Muster, die auf eine legitime API-Nutzung schließen lassen, können sich aber, je nach den Geschäftsanforderungen dieser APIs, sehr schnell ändern. Um zu erfahren, wann und wie sich die Anforderungen ändern, müsste man mit allen Beteiligten Kontakt halten – was aber sehr zeitintensiv ist.

 

Bei allen APIs (interne, externe, dedizierte, aggregierte und Micro-Services) können sich Art und Anzahl der zugreifenden Clients und der auszuführenden Transaktionen schnell und ganz erheblich ändern. Das macht es bei Nutzung bestehender, richtlinienbasierter Lösungen extrem schwierig, zwischen einer legitimen API-Nutzung und einem API-Angriff zu unterscheiden. Das mag auch ein Grund dafür sein, dass 65 % der Teilnehmer einer Akana Umfrage angaben, dass sie keinerlei Prozesse für die API-Datensicherheit einsetzen.

 

API Gateways und PingIntelligence for APIs: die Geschichte eines echten Dream-Teams

Full Lifecycle API Management Solutions bieten entscheidende Sicherheits-Features für den Schutz von APIs. Kombiniert man diese mit PingIntelligence for APIs können Sie Ihre API-Sicherheitslösungen skalieren und automatisieren, was wiederum die digitale Transformation Ihres Unternehmens unterstützt. Dieses Dream-Team versetzt Sie in die Lage, Ihre APIs mithilfe wegweisender Zugangskontrollen (z. B. OAuth 2.0) zu schützen und bietet Ihnen zudem eine preisgekrönte Lösung, mit der Sie normale API-Angriffe ebenso abwehren können wie Angriffe auf Login-Systeme, API DDoS-Angriffe und über APIs geführte Zugriffsversuche auf Daten und Applikationen.

 

Falls es Sie interessiert, wie Sie Ihre APIs professionell schützen können, nehmen Sie an unserer Podiumsdiskussion teil. Bei diesem virtuellen Event erwarten Sie am 17. September Beiträge von national anerkannten Vordenkern der API-Community.