Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

API Security

Schützen Sie all Ihre APIs vor Angriffen und Datendiebstahl – denn diese treten immer häufiger auf.

Ermitteln Sie alle APIs und erhalten Sie transparente Einblicke zum Schutz vor Bedrohungen

API Security bietet Ihnen durch kontinuierliche Erkennung und Echtzeitanalysen umfassende Einblicke in Ihre gesamte API-Umgebung. Erfahren Sie, wie Sie Schwachstellen identifizieren und das API-Verhalten analysieren können, um Angriffe zu erkennen und Risiken in dieser schnell wachsenden Angriffsfläche zu beheben.

Schließen Sie eine häufig übersehene Sicherheitslücke

Verschaffen Sie sich einen vollständigen Überblick über Ihren API-Bestand

Ermitteln und inventarisieren Sie all Ihre APIs – einschließlich Shadow-, Zombie- und Rogue-APIs – mit kontinuierlicher Erkennung und Überwachung.

Identifizieren Sie anfällige APIs

Führen Sie Prüfungen auf API-Schwachstellen und Fehlkonfigurationen durch, die im Visier der Angreifer stehen – einschließlich der vollständigen OWASP API Top 10.

Schützen Sie sich vor Missbrauch der Geschäftslogik

Nutzen Sie kontextbezogene Informationen, um Risiken wie Datenlecks, verdächtiges Verhalten, schädliche Bots und API-Angriffe zu erkennen.

So funktioniert API Security

Entdecken

Entdecken

Generieren Sie eine umfassende API-Bestandsaufnahme, inklusive Anzahl und Art der APIs.

Testen

Testen

Schützen Sie Ihre CI/CD-Pipeline zusätzlich, ohne Abstriche bei der Geschwindigkeit zu machen, um APIs zu sichern, bevor Sie sie für die Produktion freigeben.

Erkennen

Erkennen

Identifizieren Sie API-Schwachstellen und -Angriffe mit automatisierter Erkennung, die auf maschinellem Lernen basiert.

Reagieren

Reagieren

Erstellen Sie erweiterte Workflows zur Behebung von API-Problemen durch eine Integration mit Ihren WAFs, SIEMs und ITSM-Tools.

Welche Auswirkungen hat ein API-Sicherheitsvorfall?

Mehr als 1.200 Sicherheitsexperten zeigen auf, wie API-Vorfälle ihren Gewinn, ihren Ruf und die Belastung der Teams beeinflussen.

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Bleiben Sie dem nächsten großen Angriffsvektor einen Schritt voraus: API-Missbrauch. Erfahren Sie mehr über die Produktfunktionen, Anbieter, die Marktentwicklung und weitere wissenswerte Aspekte.

Gartner® Market Guide for API Protection

Bleiben Sie dem nächsten großen Angriffsvektor einen Schritt voraus: API-Missbrauch. Erfahren Sie mehr über die Produktfunktionen, Anbieter, die Marktentwicklung und weitere wissenswerte Aspekte.

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Bleiben Sie dem nächsten großen Angriffsvektor einen Schritt voraus: API-Missbrauch. Erfahren Sie mehr über die Produktfunktionen, Anbieter, die Marktentwicklung und weitere wissenswerte Aspekte.

Gartner® Market Guide for API Protection

Funktionen

  • Bewerten Sie den Traffic von APIs mit einer nativen Verbindung zum Akamai-CDN und integrieren Sie sie in Ihre API-Gateways, Load Balancer oder WAFs.
  • Identifizieren Sie APIs, Domains und damit verbundene Probleme im Zusammenhang mit HTTP-, RESTful-, GraphQL-, SOAP-, XML-RPC-. und JSON-RPC-APIs
  • Identifizieren Sie die Arten vertraulicher Daten, auf die Ihre APIs zugreifen können, und verfolgen Sie den Nutzerzugriff auf diese APIs
  • Analysieren Sie APIs im Hinblick auf die Top 10 API-Sicherheitsrisiken des OWASP und priorisieren Sie Schwachstellen nach Auswirkung, um schnell Abhilfe zu schaffen
  • Verstehen Sie den API-Kontext mit Visualisierungen von Geschäftslogik, physischer Netzwerkinfrastruktur und API-Trafficflüssen

  • Überwachen Sie kontinuierlich die Einhaltung gesetzlicher Auflagen, Branchenstandards und interner Richtlinien
  • Verwenden Sie maschinelles Lernen, um ungewöhnliche Nutzung, API-Angriffe, Datenlecks, Manipulationen und Richtlinienverstöße zu identifizieren
  • Blockieren Sie API-Angriffe in Echtzeit, und richten Sie erweiterte Workflows ein, um die Fehlerbehebung zu beschleunigen und die Effektivität des SOC zu erhöhen
  • Integrieren Sie die Lösung vollständig in Ihre vorhandenen CI/CD-Pipelines und führen Sie automatisch mehr als 200 Tests aus, die schädlichen Traffic simulieren

Häufig gestellte Fragen (FAQ)

API Security ist eine anbieterneutrale Lösung zum Schutz vor API-Bedrohungen. Andere Lösungen von Akamai sind für die Nutzung von API Security nicht erforderlich. Angriffe auf APIs sind viel raffinierter geworden und erfordern neue Erkennungstechniken und automatisierte Reaktionen. Die Lösung ergänzt die bestehenden API-Sicherheitslösungen von Akamai und stellt sicher, dass Kunden umfassenden Schutz erhalten. 

API Security und App & API Protector sind zwei unterschiedliche Lösungen, die Akamai zum Schutz Ihres Unternehmens anbietet.

  • App & API Protector dient der Erkennung und Abwehr von API-Bedrohungen für Webanwendungen und APIs, die über die Akamai Connected Cloud ausgeführt werden. Die Lösung kann jeden Inline-Traffic blockieren, der potenzielle Bedrohungen für Ihr Unternehmen birgt.
  • API Security ist plattformunabhängig und bietet umfassende Erkennung und Transparenz für alle API-Endpunkte im gesamten Unternehmen. Die Lösung liefert Traffic-Analysen der API-Aktivität in Echtzeit und ermittelt spezifische Reaktionen, die Sie ergreifen sollten, um aktuelle Angriffe auf API-Traffic abzuwehren.

Wenn App & API Protector und API Security zusammen bereitgestellt werden, arbeiten sie inline und bieten die größtmögliche durchgängige Transparenz von APIs. Mit diesen Lösungen können Sie API-Probleme in Ihrem gesamten Bestand erkennen, prüfen und entsprechend zu reagieren. Die Integration von API Security und App & API Protector ermöglicht zudem eine besonders zuverlässige und einfache Implementierung von API Security.

Ja, unsere API-Testlösung wurde entwickelt, um API-spezifische Schwachstellen umfassend abzudecken. Mithilfe unserer Lösung können Sie API-Sicherheitstests in jede Entwicklungsphase integrieren.

API Security überwacht und schützt sowohl den East-West- als auch den North-South-Traffic und überprüft alle APIs im gesamten Unternehmen auf Anomalien, die auf ein Sicherheitsrisiko hinweisen könnten.

API Security identifiziert, welche APIs personenbezogene Daten (Personally Identifiable Information, PII), interne Dokumentation, geistiges Eigentum und mehr enthalten, sodass Sie den Schutz für diese APIs automatisieren können. Alle Trafficproben werden verschleiert – verdächtig oder nicht – und können nur von Administratoren und Beitragenden eingesehen werden, was Ihre Datenschutz- und Compliance-Initiativen vereinfacht.

API Security ist plattformunabhängig und funktioniert auch in komplexen SaaS-, Hybrid- und lokalen Umgebungen, die über mehrere CDNs, WAFs, Gateways und weit verteilte APIs im gesamten Unternehmen verfügen (sowohl North-South als auch East-West). API Security bietet unternehmensweite Einblicke in das Verhalten Ihrer APIs, unabhängig davon, wo diese entdeckt werden.

Akamai API Security verfügt über einen nativen Konnektor, mit dem Sie nahtlos eine Kopie Ihres Traffics der Akamai Connected Cloud zur Analyse an Akamai API Security senden können. Diese Integration ist direkt in API Security und Akamai Connected Cloud integriert, wodurch Latenzen vermieden und Risiken verringert werden. Der native Connector erkennt und verfolgt automatisch APIs in von Akamai verwalteten Umgebungen, hilft bei der Erkennung von Schwachstellen und ermöglicht es Kunden, Angreifer an der Edge zu blockieren.

API Security deckt alle OWASP API Top 10-Schwachstellen ab.

Kundenreferenzen

Anwendungsfälle für API Security

Erfahren Sie, wie Akamai API Security Ihr digitales Geschäft und die zugehörigen Daten an verschiedenen Fronten schützen kann.

Testen Sie APIs, bevor Sie sie für die Produktion freigeben

Testen Sie APIs, bevor Sie sie für die Produktion freigeben

API-Tests sind für Ihre API-Sicherheitsstrategie von entscheidender Bedeutung, da sie Unternehmen bei ihrer „Shift left“-Strategie unterstützen. Diese soll gewährleisten, dass Schwachstellen wie der Missbrauch von Geschäftslogik zu einem früheren Zeitpunkt im Softwareentwicklungszyklus (Software Development Life Cycle, SDLC) erkannt und behoben werden, bevor die APIs die Produktion erreichen.

Mit API-Tests können Sie automatisch mehr als 150 dynamische Tests ausführen, die schädlichen Traffic simulieren, einschließlich der OWASP Top 10 API-Sicherheitsrisiken. Planen Sie Tests so, dass sie automatisch in den gewünschten Intervallen in jeder Entwicklungsphase ausgeführt werden.

Unternehmensweite Bestandsaufnahme Ihrer APIs

Unternehmensweite Bestandsaufnahme Ihrer APIs

Ein umfassender und kontinuierlich aktualisierter Bestandsüberblick über alle APIs im Unternehmen ist essenziell für eine effektive API-Sicherheitsstrategie. Eine on demand oder täglich erfolgende oder Erkennung ist aufgrund der mit API-Angriffen verbundenen Risiken unzureichend. Darüber hinaus ist eine Visualisierung des tatsächlichen API-Verhaltens (API-Aufrufe) erforderlich, damit wichtige Teammitglieder aus den Bereichen Sicherheit, Entwicklung und Betrieb verstehen können, wie APIs verwendet oder missbraucht werden. Dies erleichtert die Kommunikation und Untersuchungen in allen Teams Ihres Unternehmens. 

API Security ermöglicht eine automatisierte und kontinuierliche Entdeckung von APIs über verschiedene Technologien und Infrastrukturen hinweg. Außerdem werden neu bereitgestellte APIs erkannt und die jeweiligen Eigenschaften mit vorhandenen Dokumentationen verglichen. API Security erkennt häufig übersehene Shadow-APIs sowie bekannte API-Schwachstellen wie die „OWASP API Security Top 10“

Die API-Erkennung ist ein fortlaufender Prozess. Unsere kontinuierliche Überwachungslösung findet rund um die Uhr neue APIs und Änderungen an bestehenden APIs. Sicherheitsteams erhalten beispiellose Transparenz und erfahren als Erste, wann Entwickler eine neue API oder einen neuen Service bereitstellen.

Einblicke in Ihr API-Risikopotenzial

Einblicke in Ihr API-Risikopotenzial

APIs stärken sämtliche digitale Produkte und Services, die ein Unternehmen anbietet. Daher ist es keine Überraschung, dass APIs immer verbreiteter und umfangreicher werden. Dieses Wachstum führt jedoch zu einer API-Verbreitung, die eine ganz neue Angriffsfläche mit sich bringt.

Die Angreifer von heute suchen nach API-Schwachstellen, einschließlich Software- oder Konfigurationsfehlern, die sie für folgende Zwecke ausnutzen können:

  • Zugriff auf sensible Anwendungsfunktionen
  • Aufspüren, Kompromittieren und/oder Diebstahl vertraulicher Daten
  • Missbrauch der API 

Die „OWASP API Security Top 10“ bietet eine hilfreiche Zusammenfassung einiger der am häufigsten ausgenutzten API-Schwachstellen und -Bedrohungen, die Unternehmen identifizieren und beheben sollten.

Mit API Security können Sie verhindern, dass Ihr Unternehmen dem Risiko eines API-Angriffs aufgrund anfälliger und falsch konfigurierter APIs ausgesetzt wird. Denn die Lösung informiert Sicherheits-, Entwickler- und API-Teams umgehend über potenzielle Risiken, Konfigurationsfehler und Schwachstellen. Sie können auch leicht erkennen, ob ein Partner Ihre API falsch eingerichtet hat oder ob Schwachstellen im Code vorhanden sind. 

Kontextbezogene und bedingte Warnungen funktionieren innerhalb Ihrer bestehenden Workflows reibungslos, z. B. beim automatischen Erstellen eines Jira-Tickets. So können Sie Probleme schnell beheben.

Überwachung auf API-Missbrauch

Überwachung auf API-Missbrauch

APIs sind für eine programmgesteuerte Verwendung konzipiert. Das macht die Unterscheidung zwischen legitimer Nutzung einerseits und Angriffen und Missbrauch andererseits äußerst schwierig.

API-Bedrohungen verfolgen zwar unterschiedliche Ansätze, zu den häufigsten Methoden gehören jedoch:

  • Missbrauch von Geschäftslogik. Logikmissbrauch liegt vor, wenn ein Angreifer Fehler im Anwendungsdesign oder in der Implementierung ausnutzt, um unerwartetes und nicht genehmigtes Verhalten zugunsten des Angreifers zu provozieren. Ältere Sicherheitskontrollen können diese Art von Missbrauch nicht verhindern, was enormen Stress und Druck für CISOs und deren Teams bedeutet.
  • Nicht autorisierter Datenzugriff. Eine weitere verbreitete Form des API-Missbrauchs ist die Ausnutzung defekter Autorisierungsmechanismen für den Zugriff auf Daten, die für Angreifer eigentlich unzugänglich sein sollten. Für diese Schwachstellen gibt es viele Bezeichnungen wie etwa „fehlerhafte Autorisierung auf Objektebene“ (Broken Object-Level Authorization: BOLA), „unsicherer direkter Objektverweis“ (Insecure Direct Object Reference: IDOR) und „fehlerhafte Autorisierung auf Funktionsebene“ (Broken Function-Level Authorization: BFLA).
  • Kontoübernahme. Nach einem Diebstahl von Anmeldedaten oder gar einem XSS-Angriff (Cross-Site Scripting) kann ein Konto übernommen werden. Sobald dies geschieht, lassen sich selbst hervorragend programmierte und intelligent gesicherte APIs missbrauchen. Schließlich gilt jede authentifizierte Aktivität als legitim, wenn Sie keine Verhaltensanalyse durchführen.
  • Daten-Scraping. Wenn Unternehmen Datensätze über öffentliche APIs zur Verfügung stellen, können Cyberkriminelle diese Ressourcen aggressiv abfragen, um große, wertvolle Datensätze komplett zu erfassen.
  • Business Denial of Service (DoS). Wenn API-Angreifer oder -Nutzer das Backend auffordern, umfangreiche Aufgaben auszuführen, können sie auf Anwendungsebene eine „Erosion des Service“ oder einen kompletten Denial-of-Service verursachen (eine häufige Schwachstelle in GraphQL, die allerdings bei jeder ressourcenintensiven API-Endpunktimplementierung auftreten kann). Dies kann durch einen absichtlichen Angriff oder durch übermäßige Nutzung durch einen Partner geschehen, die dazu führt, dass die API für andere Partner ausfällt. 
  • Ausnutzung von Schwachstellen. Technische Sicherheitslücken in der zugrunde liegenden Infrastruktur können zu einer Gefährdung der Server führen. Beispiele für diese Arten von Schwachstellen reichen von den Sicherheitslücken in Apache Struts (CVE-2017-9791, CVE-2018-11776 und weitere) bis zu den Sicherheitslücken in Log4j (CVE-2021-44228 und weitere).

Um diese und andere API-Sicherheitsrisiken zu erkennen und abzuwehren, sind ausgereifte Sicherheitskontrollen erforderlich, die der komplexen und sich schnell entwickelnde Bedrohungslandschaft gewachsen sind. 

API Security liefert Geschäftskontext, der nicht allein durch die Analyse technischer Elemente wie IP-Adressen und API-Token gewonnen werden kann. Mithilfe von AI/ML-basierten Traffic-Analysen in Echtzeit gibt API Security Geschäftskontext aus. So können Sie eine gründliche Analyse der Ereignisse vor und nach einer Warnung durchführen, um eine Ursache zu ermitteln. Mit API Security können Sie APIs auch nach bestimmten Entitäten wie Nutzern, Partnern oder sogar Geschäftsprozesseinheiten (Rechnung, Zahlung, Bestellung usw.) durchsuchen, um die Aufdeckung von Anomalien zu ermöglichen.

Lernen Sie von unseren API-Sicherheitsexperten

Besuchen Sie ein Webinar, in dem wir in unserer monatlichen Serie „Wenn Ihre APIs sprechen könnten“ die technische Seite der API-Sicherheit näher beleuchten.

Ressourcen

Entdecken Sie die wichtigen Funktionen von API Security

Erfahren Sie, welche Funktionen von API Security Ihnen dabei helfen können, Angriffe zu verhindern. Dazu zählen beispielsweise:

  • Erkennung und Überwachung: Erkennen Sie Bedrohungen sofort und reagieren Sie darauf mit unserem Rund-um-die-Uhr-Überwachungssystem
  • Warnmeldungen: Untersuchen Sie, wie Warnmeldungen zum Status und zur Laufzeit behandelt werden
  • Einfache Integration: Nahtlose Integration in Ihrem vorhandenen Technologie-Stack, unabhängig von der Komplexität

Die Registrierung für Ihre Demo erfolgt in zwei einfachen Schritten:

  1. Senden Sie das Formular
  2. Buchen Sie einen Termin mit unserem Team

Vielen Dank für Ihre Anfrage. Ein Akamai-Experte wird sich in Kürze mit Ihnen in Verbindung setzen.