Akamai verbessert die API-Sicherheit

Die Verwendung von APIs nimmt rasant zu. Sie bestimmen unsere Welt und wie wir die Welt erleben. Jeden Tag kommunizieren unsere Lieblingsanwendungen mit verschiedenen APIs, damit wir die sozialen Medien nutzen, Einkäufe und Bankgeschäfte erledigen und die Sicherheitskamera am Haus prüfen können. Wir verwenden APIs, wenn wir von zu Hause aus mit den Anwendungen und Services unseres Unternehmens kommunizieren.

APIs werden weltweit in fast allen Branchen eingesetzt. Ihre zunehmende Verbreitung wird angetrieben durch Geschäftsinitiativen wie digitale Transformation, die Einführung von Mobilgeräten und Internet der Dinge (IoT) sowie Open Banking. APIs werden im B2B- und B2C-Bereich eingesetzt, um Geschäfte in unserer Wirtschaft zu ermöglichen. Fast jedes Unternehmen, das moderne Anwendungen entwickelt, verwendet dafür und für die unternehmensübergreifende Integration von Services APIs.

Daher gehören APIs zu den attraktivsten Vektoren für Angreifer. Die Daten von Akamai zeigen, dass Angriffe auf APIs im Jahresvergleich um 109 % zunehmen. In einem Bericht aus dem Jahr 2023gaben 78 % der Kunden an, dass sie in den letzten 12 Monaten einen API-bezogenen Sicherheitsvorfall erlebt hatten. Die Sicherheit von APIs rückt immer mehr in den Vordergrund, und Akamai verbessert den API-Schutz für unsere Kunden.

Aufgrund der Übernahme von Noname Security durch Akamai können wir die um 200 % angestiegene Kundennachfrage nach Akamai API Security noch beschleunigen. Sowohl Akamai als auch Noname sind in diesem Bereich führend, und diese Übernahme verleiht uns die zusätzlichen Ressourcen, um zum Tempomacher für die API-Sicherheit zu werden.

Plattformen für Webanwendungs- und API-Schutz (WAAP) spielen eine wichtige Rolle beim Schutz von Webanwendungen und APIs vor Angriffen, wie sie in der „OWASP API Security Top 10“ definiert werden. Aber sie allein sind keine Lösung des Problems.

Andere Anbieter wollen Ihnen weismachen, dass WAAPs alle Arten von API-Angriffen abwehren können. In Wirklichkeit bieten die meisten WAAP-Lösungen jedoch nicht die nötige Transparenz und Tiefe der API-Sicherheit, die zur Abwehr von Angriffen erforderlich ist, insbesondere bei Missbrauchsangriffen. Das liegt daran, dass eine WAAP-Lösung nicht über das kontextbezogene Bewusstsein verfügt, um den Austausch zwischen API-Anfragen und -Antworten zu verstehen.

Das überrascht nicht, da APIs anders funktionieren als Webanwendungen. Bei einer Webanwendung ist die Geschäftslogik verborgen, die Geschäftslogik einer API kann jedoch über das Internet zugänglich sein, so dass sie ausgenutzt werden kann. Ein Beispiel dafür wurde in einem Artikel in TechCrunch im Mai 2024 erwähnt. Eine WAAP-Plattform hätte diesen Angriffstyp nicht abwehren können.

Das ist einer der Gründe, warum Akamai erhebliche Investitionen getätigt hat, um unsere API-Sicherheitslösung voranzubringen, und warum wir mit dieser jüngsten Übernahme weiterhin auf mehr Innovation und API-Schutz drängen.

Akamai API Security adressiert viele der in der OWASP API Security Top 10 aufgeführten Angriffsarten, die zu Umsatzeinbußen, Rufschädigung, Offenlegung von Informationen und Compliance-Verstößen führen.

Unsere API-Sicherheitslösung löst mehrere kritische Probleme wie Transparenz der API-Landschaft, Erkennung und Blockierung von Bedrohungen und Anomalien sowie aktives Testen von APIs.

Wie heißt es so schön? Was Sie nicht sehen können, können Sie nicht schützen. Viele Unternehmen wissen nicht einmal, wie viele APIs sie tatsächlich haben, sodass ihr Risiko nur schwer beziffert werden kann. Akamai API Security beginnt mit der Beurteilung der Anzahl der APIs eines Kunden, und zwar nicht nur die aktiv genutzten, von denen er weiß, sondern auch die Legacy-, Shadow- oder Rogue-APIs, die er nicht kennt oder nicht sehen kann. Daten von Noname Security legen nahe, dass Kunden ihrer API-Sicherheitsplattform durchschnittlich 40 % mehr APIs in ihrer Umgebung entdecken, als sie ursprünglich erwartet hatten.

API Security nutzt maschinelles Lernen, um alle Arten von API-Schwachstellen und -Missbrauch zu erkennen und zu identifizieren, einschließlich Datenmanipulationen, Datenlecks, Fehlkonfigurationen, Richtlinienverstöße, Verhaltensanomalien und direkte API-Sicherheitsangriffe.

„Shift left“-Tests sind eine wichtige Komponente der Anwendungsentwicklung, die von Anfang an für Sicherheit sorgt. Bisher war es jedoch nicht möglich, APIs während der Entwicklung zu testen. Mit API Security können wir API-Tests in die CI/CD-Pipeline integrieren, um sicherzustellen, dass Probleme behoben werden, bevor die API für die Produktion freigegeben wird.

Die Übernahme von Noname Security, einem der Marktführer im Bereich API-Sicherheit, wird den Schutz, den Akamai API Security unseren Kunden bietet, direkt erweitern. Mit der breiten Palette an Integrationen und Einsatzmöglichkeiten von Noname können wir nun Unterstützung für die gesamte Anbieterlandschaft bereitstellen.

Akamai API Security kann die API-Umgebung unabhängig davon schützen, ob ein Unternehmen Cloud-, Edge-native, On-Premise- oder andere Plattformen nutzt. Mit der Ergänzung der Noname-Lösung verfügt Akamai über die nötige Reichweite und Abdeckung, um Kunden in allen Umgebungen einen umfassenden API-Schutz zu bieten.

Außerdem freuen wir auf folgende zusätzliche Funktionen:

• Flexible Bereitstellungsmöglichkeiten – schnelle Bereitstellung über in der Cloud gehostete, selbst gehostete, hybride und verteilte Instanzen

• Wichtige Funktionen für Unternehmen – umfasst rollenbasierte Zugriffskontrolle, Self-Service-Konfiguration, CI/CD-Integration, Dashboards und erweiterte automatisierte Antworten

• Keine Probleme mit Datengrenzen – analysiert die Daten des Angriffs im Arbeitsspeicher, wodurch sichergestellt wird, dass Ihre Daten niemals Ihre Umgebung verlassen

• Mehr Integrationen – bietet die branchenweit umfassendste Sammlung von Integrationen, einschließlich NGINX, AWS, Azure, F5, Apigee, MuleSoft, GCP und viele mehr; die Integration mit Ihren bestehenden Lösungen ist wichtig, und so wird eine umfassende Abdeckung gewährleistet

• Robuste API-Tests – konzentriert sich auf das Auffinden und Beheben von in die CI/CD-Pipeline integrierten API-Sicherheitslücken (während der Entwicklungsphase des Softwareentwicklungszyklus), bevor sie ausgenutzt werden können

Wie bereits erwähnt, planen wir, unsere aktuellen API-Sicherheitsinnovationen mit der Sicherheitslösung von Noname zu kombinieren. Diese einheitliche Lösung bietet Kunden in allen Umgebungen umfassenden API-Schutz.

Unser Integrationsprozess wird sich auf drei Bereiche konzentrieren:

1. Verbindung vom Edge-Netzwerk von Akamai

2. Verbindung zu App & API Protector

3. Threat Intelligence

Akamai betreibt eines der größten privaten Netzwerke der Welt. Von dieser Plattform werden die meisten unserer Services bereitgestellt, einschließlich unserer marktführenden Sicherheitsservices (wie App & API Protector und die DDoS-Schutzplattform Prolexic), unseres marktführenden Netzwerk zur Inhaltsbereitstellung (CDN) und unserer Public-Cloud-Services. Unsere Unternehmenskunden wissen es zu schätzen, dass Services direkt von unserer Plattform aus genutzt werden können. Daher werden wir Noname in unser Netzwerk integrieren, um die Bereitstellung zu vereinfachen. Wir gehen davon aus, dass die Integration drei Wochen nach der Übernahme abgeschlossen sein wird.

App & API Protector ist die branchenweit beste WAAP-Plattform, was durch die Ernennung zum 2024 Customers' Choice for Cloud WAAP im fünften Jahr in Folge bei Gartner® Peer Insights™ und durch andere Analystenbewertungen belegt wird. Diese Verbindung ermöglicht es, dass die von Noname generierte Verhaltensinformationen WAAP-Regeln in App & API Protector auslöst, um die Verbindung automatisch zu blockieren.

Akamai erfasst und analysiert täglich mehr als 788 Terabyte an Daten. All diese Daten werden durch die enorme Menge an Angriffen generiert, die wir bei den von uns betreuten Kunden, die überwiegend Unternehmen sind, beobachten (wir beobachten jedes Quartal mehr als 12 Milliarden Web-Angriffe). Diese Daten und die Arbeit von über 200 Sicherheitsforschern liefern uns unglaubliche Bedrohungsinformationen. Wir werden diesen Datenfeed in Akamai API Security integrieren, wie wir es bei allen unseren Produkten tun.