Was hat XDR mit API-Sicherheit zu tun?

Zwei Schlüsselfragen 

Viele Sicherheitssilos haben sich im Laufe der Zeit weiterentwickelt und enthalten jetzt einheitlichere XDR-Ansätze (Extended Detection and Response). Akamai sieht eine Möglichkeit, die Vorteile von XDR auch für die API-Sicherheit zu nutzen. Diese Gelegenheit wirft jedoch zwei wichtige Fragen auf, die sowohl Anbieter als auch Sicherheitsteams berücksichtigen müssen:

1. Kann XDR, wie wir es heute kennen, um API-Sicherheit erweitert werden? 

2. Sollte die API-Sicherheit durch einen separaten Satz von Sicherheitstools und Vorgehensweisen abgedeckt sein, die die besten Innovationen von XDR auf die einzigartigen Sicherheitsherausforderungen von APIs anwenden?

Erkennungs- und Reaktionssilos

Technologien, die Sicherheitsbedrohungen erkennen und darauf reagieren, gibt es seit Jahrzehnten. Die meisten Silos begannen mit engen Zielen, darunter:

• Endpoint-Erkennung und -Reaktion zum Schutz von Endpoints und in einigen Fällen von Servern

• Netzwerkerkennung und -reaktion vor Ort (Network Detection and Response, NDR) zur Erkennung und Abwehr von Bedrohungen in Unternehmens- und Rechenzentrumsnetzwerken

• Cloud-NDR zur Erweiterung ähnlicher Konzepte auf Cloud- oder Hybrid-Cloud-Infrastruktur

• Sicherung von E-Mail-Gateways zur Erkennung und Abwehr von E-Mail-basierten Angriffen

• Externe Threat-Intelligence-Feeds, die Frühwarnsignale über mögliche Bedrohungen liefern sollten

Jede dieser Maßnahmen spielte eine wichtige Rolle bei der Risikoreduzierung, ihre Wirksamkeit war jedoch durch die Tatsache eingeschränkt, dass sie in einzelnen Silos betrieben wurden. Jeder fehlten also Informationen von den anderen, die ein vollständigeres und genaueres Bild der Bedrohungen und Risiken ergeben hätten. Stattdessen lastete die Verantwortung, die einzelnen Informationen zusammenzuführen, auf den Sicherheitsteams.

Silos abschaffen, um XDR zu erstellen

XDR-Innovationen verbessern die Sicherheit auf drei wichtige Arten. Diese Innovationen:

1. Zusammenführen von Erkennungs- und Reaktionssignalen über alle oben genannten Silos hinweg zu einem einheitlichen Modell

2. Mithilfe von Cloudskalierbarkeit und Verfahren wie maschinellem Lernen und Verhaltensanalysen können große Datenmengen über längere Zeiträume überwacht werden, was umfassendere und aussagekräftigere Erkenntnisse zur Sicherheit ermöglicht. Noch wichtiger dabei ist vielleicht, dass sich ein grundlegendes Verhalten zur Identifizierung von Abweichungen festlegen lässt

3. XDR bietet Sicherheitsteams intuitive, zeitbasierte Ansichten von Sicherheitsvorfällen, sodass ermüdende Warnroutinen entfallen und schnelle, durchschlagende Reaktionen einfacher möglich sind

Wenn XDR korrekt implementiert und umgesetzt wird, erhöht es signifikant die Produktivität und Effektivität des Sicherheitsteams.

Können die Prinzipien von XDR APIs besser schützen?

HINWEIS: Es gibt APIs, an denen Nutzer beteiligt sind. Diese werden als B2C-APIs (Business-to-Consumer) bezeichnet. In diesem Beitrag konzentrieren wir uns auf die rasant wachsende Anzahl von APIs, die gegenüber externen Anwendungen exponiert sind, sowie auf den enormen Bereich der Machine-to-Machine (M2M) API-basierten Kommunikation.

Selbst wenn XDR einen erheblichen Sicherheitsvorteil bietet, sind APIs weitestgehend nicht durch XDR abgedeckt. Wir sehen häufig, dass Unternehmen XDR einsetzen, um sich auf die Sicherheitsinfrastruktur des Unternehmens zu konzentrieren, wo die Risiken größtenteils bei Nutzern liegen, die sich mit Anwendungen und Cloudservices, die auf Hosts ausgeführt werden, verbinden.

Allerdings unterscheidet sich der Traffic von APIs, die M2M-Kommunikation bedienen, von Nutzern und Hosts. Folglich können sich die Eigenschaften von Sicherheitsbedrohungen für APIs auch von Sicherheitsbedrohungen für Unternehmen unterscheiden. Beispielsweise gibt es im herkömmlichen Sicherheitsbereich von Unternehmen keine subtilen Angriffe wie den Missbrauch von Geschäftslogik, d. h. sie erfordern spezielle Erkennungs- und Abwehransätze.

Infolgedessen profitiert die API-Sicherheit möglicherweise nicht sehr von der unternehmensweiten Nutzung von XDR, die sich auf Sicherheitsaktivitäten und Bedrohungsinformationen konzentriert.

Dies schließt jedoch die Verwendung von XDR-Prinzipien für die API-Sicherheit nicht aus. Angesichts der Spezifik von B2B- und M2M-API-Traffic liegt die Verwendung von XDR-Prinzipien nahe. Schließlich kann bei großem Traffic-Volumen nur eine erweiterte Erkennung unbemerkten API-Missbrauch aufdecken.

Das ist die Innovation von API Security von Akamai: Wir wenden viele derselben XDR-Konzepte, die die Unternehmenssicherheit revolutioniert haben, auf Anwendungssicherheit an.

Marktführer in der sich entwickelnden API-Sicherheitsbranche

Ähnlich wie sich die Unternehmenssicherheit von Angriffssignaturen und zeitpunktbasierter Erkennung bis hin zu Verhaltensanalysen entwickelt hat, führt Akamai die API-Sicherheitsbranche durch die gleiche Entwicklung, und zwar mit Folgendem:

• Erweiterte Erkennung über die umfassende Erfassung von API-Trafficdaten bis hin zu einem cloudbasierten Service mit langfristiger Datenaufbewahrung und verbesserten Daten

• Echtes maschinelles Lernen und echte Verhaltensanalysen

• Inhaltsbezogene Untersuchung und Threat Hunting

• Automatisierte, flexible Reaktionsmechanismen, einschließlich Softwareentwicklungslebenszyklus- und API-Gateway-Integrationen

Wir glauben, dass die Vorteile dieser Transformation für die Sicherheit von APIs und Anwendungen noch größer sein werden als sie es für die Unternehmenssicherheit waren. Sicherheitsteams können ohne die Unterstützung durch Verhaltensanalysen mit der riesigen Menge an M2M-Kommunikation nicht Schritt halten.

Die Anwendung von Verhaltensanalysen auf große Datensätze ist auch eine bessere Möglichkeit, alle Aspekte von Bedrohungen für die Anwendungssicherheit anzugehen. API-Missbrauch kann beispielsweise nicht effektiv durch Inline- oder zeitpunktbasierte Analysen erkannt werden. Nur durch die Erstellung von Basiswerten für normales Verhalten zur Erkennung von Anomalien lässt sich Missbrauch von nahezu identisch wirkenden legitimen Aktivitäten unterscheiden.

Was ist mit Threat Hunting?

Mehrere XDR-Lösungen, die heute auf dem Markt sind, ermöglichen Threat Hunting in ihren Nutzeroberflächen. Nur ein Teil dieser Lösungen bietet Managed Threat Hunting. Die Nutzung von XDR-Prinzipien durch Akamai umfasst diese Services ebenfalls. Die Nutzeroberfläche von Akamai umfasst einen leistungsstarken Satz von API-Threat-Hunting- Tools. Warnmeldungen können Teams dazu veranlassen, mithilfe von Zeitplänen für Entitäten, logischen Ausdrücken, um den Daten-Traffic einzuschränken und anderen Maßnahmen nach schädlichem Verhalten zu suchen.

Uns ist bewusst, dass API Security eine neue Lösung ist und die Fähigkeiten zum API-Threat-Hunting in Ihrem Unternehmen sich möglicherweise noch in einer frühen Entwicklungsphase befinden, daher bieten wir Ihnen Akamai API Security ShadowHunt, den einzigen Managed API Threat Hunting Service der Branche, für den Experten arbeiten.