Wie es um Anwendungssicherheit steht

Drei überraschende Trends im Bereich Webanwendungen und API

Bei der Entwicklung von Webanwendungen wird der Sicherheitsaspekt selten berücksichtigt. Dennoch nutzen wir sie täglich für alle möglichen kritischen Funktionen, was sie zu einem attraktiven Ziel für Hacker macht.

Angesichts der kritischen Natur von Webanwendungen und APIs und der darin enthaltenen Daten können missbrauchte oder ungeschützte Anwendungen zu Störungen im Geschäftsbetrieb, finanziellen Verlusten und dem Zusammenbruch kritischer Infrastrukturen führen.

Wie aus dem kürzlich von Cloudflare veröffentlichtenBericht zum Stand der Anwendungssicherheit hervorgeht, haben Unternehmen mit veralteten Sicherheitsansätzen für Webanwendungen und APIs zu kämpfen, während Online-Bedrohungsakteure effizienter und schneller denn je agieren. Die Untersuchung beruhte auf aggregierten Traffic-Mustern (beobachtet von April 2023 bis März 2024) aus dem globalen Netzwerk von Cloudflare, das jeden Tag 209 Mrd. Cyberbedrohungen identifiziert und blockiert.

Dieser Artikel hebt drei Schlüsseltrends aus dem Bericht hervor, die dringende Aufmerksamkeit und Maßnahmen von CISOs erfordern.

Trend 1: Organisationen verwenden überwiegend veraltete API-Sicherheitslösungen

Verbraucher und Endnutzer erwarten im Web und auf Mobilgeräten eine und dynamische Nutzererfahrung, die zunehmend durch APIs ermöglicht und verbessert werden. Für Unternehmen bieten API Wettbewerbsvorteile: mehr Business Intelligence, schnelle Cloud-Implementierungen, Integration neuer KI-gestützter Funktionen und mehr.

Für viele hinkt die API-Sicherheit jedoch hinter dem rasanten Tempo der API-Bereitstellung hinterher. Cloudflare nutzt Machine Learning-Modelle, um API-Traffic zu identifizieren, der sonst möglicherweise nicht erfasst würde. In diesem Bericht hatten Organisationen 33 % mehr öffentlich zugängliche API-Endpunkte, als ihnen bekannt waren. (Diese Zahl wurde berechnet, indem die Anzahl der API-Endpunkte, die durch auf Machine Learning basierende Erkennungsmethoden aufgespürt wurden, mit den vom Kunden angegebenen Session-Identifikatoren verglichen wurde.)

APIs bringen im Vergleich zu Webanwendungen andere Sicherheitsherausforderungen mit sich. Dennoch haben wir festgestellt, dass 66,6 % des API-Traffics, der durch irgendeine Art von Sicherheitsvorkehrung auf Anwendungsschicht (Layer-7) verteidigt wird, in erster Linie durch herkömmliche WAF-Regeln mit negativer Sicherheit geschützt werden und nicht durch spezielle API-Regeln, die ein positives Sicherheitsmodell anwenden. Negative Sicherheitsmodelle blockieren schädlichen Traffic und lassen alles andere zu, während positive Sicherheitsmodelle festlegen, welcher Traffic ausdrücklich erlaubt ist, und alles andere abgelehnt wird.

Empfehlungen

Da Unternehmen immer mehr Dienste über APIs bereitstellen, sollten sie die Sicherheitstools von Webanwendungen (wie WAFs und DDoS) um speziell entwickelte API-Sicherheit und -Verwaltung ergänzen, die durch unüberwachtes Machine Learning verbessert werden.

Anstatt sich zum Schutz von APIs auf Regeln eines negativen Sicherheitsmodells zu verlassen, empfehlen die bewährten Praktiken der Branche, APIs mit einem positiven Sicherheitsmodell zu schützen. Ein positives Sicherheitsmodell für die API-Sicherheit ermöglicht es Unternehmen, APIs zu schützen, indem sie nur Datenverkehr akzeptieren, der mit den festgelegten OpenAPI-Schemata übereinstimmt, während gleichzeitig fehlerhafte Anfragen und HTTP-Anomalien blockiert werden, die Angriffe enthalten könnten.

Verbessern Sie Ihre API-Sicherheit weiter, indem Sie Schatten-APIs aufdecken. Ein robustes API-Sicherheitstool sollte laufend nach jeder öffentlichen API in Ihrer Landschaft suchen, auch nach solchen, die nicht verwaltet werden oder ungesichert sind.

Trend 2: Code von Drittanbietern hat das Risiko in der Supply Chain erhöht

Die Webanwendungen der meisten Organisationen basieren auf separaten Code-Teilen von Drittanbietern (oft JavaScript). Durch die Verwendung von Drittskripten beschleunigt sich die Entwicklung moderner Webanwendungen. So können Unternehmen neue Anwendungsfunktionen schneller auf den Markt bringen, ohne sämtliche Bestandteile davon selbst entwickeln zu müssen.

Laut neuesten Untersuchungen enthält eine durchschnittliche Website von Cloudflare-Kunden 47 Skripte von Drittanbietern, 50 Verbindungen zu JavaScript-Funktionen und deren Ziel sowie 12 Cookies.

Code von Drittanbietern sowie Cookies stellen Sicherheitsrisiken für Ihren Webbesucher dar, da dieser Code häufig im Browser des Benutzers geladen wird. Zudem können Cookies manipuliert werden, um beispielsweise eine Sitzung oder ein Konto zu übernehmen. Angreifer können sich Zugang verschaffen, um den Code von JavaScript-Komponenten, die auf der Website verwendet werden, auf verschiedene Weise zu verändern. Zum Beispiel durch gestohlene Zugangsdaten oder durch Missbrauch von Zero-day- oder ungepatchten Sicherheitslücken. Dann nutzen sie diesen mit Berechtigungen ausgestatteten Zugriff, um mit diesem JavaScript-Code einen nachgelagerten Angriff auf jede Website zu starten.

Empfehlungen

Suchen Sie nach einem Sicherheitsanbieter, der automatisch Risiken von Skripten von Drittanbietern identifiziert und eine vollständige, zentrale Übersicht über alle von Ihrer Website verwendeten Erstanbieter-Cookies bietet.

Trend 3: Ein Drittel des gesamten Internet-Traffics stammt von Bots, aber einige Branchen sind stärker betroffen als andere

Im Durchschnitt machen Bots ein Drittel (31,2 %) des gesamten von Cloudflare verarbeiteten Anwendungstraffics aus. Dieser Anteil ist seit drei Jahren relativ konstant (bei rund 30 %).

Der Begriff Bot-Traffic ist oft negativ besetzt, doch an sich ist er weder gut noch schlecht – es kommt vielmehr immer darauf an, welchem Zweck die Bots dienen. Einige sind vertrauenswürdig und erfüllen eine wichtige Funktion – wie Chatbots im Kundenservice und autorisierte Suchmaschinen-Crawler. Einige Bots missbrauchen jedoch ein Online-Produkt oder eine Online-Dienstleistung und müssen angesichts der potenziellen Umsatzeinbußen blockiert werden. Tatsächlich verliert das typische Unternehmen in den USA und Großbritannien jedes Jahr über 4 % seines Online-Umsatzes durch böswillige Bot-Angriffe.

Diese Branchen verzeichnen den höchsten durchschnittlichen täglichen Anteil an Bot-Traffic:

Bildquelle: Stand der Anwendungssicherheit im Jahr 2024

Empfehlungen

Wenn Ihre Branche tendenziell mehr Bot-Traffic verzeichnet, sollten Sie mehr in das Bot-Management investieren, um die von bösartigen Bots ausgehende Bedrohung präventiv zu stoppen.

Suchen Sie einen Bot-Management-Service, der folgendes bietet:

• Präzise Bot-Erkennung in großem Stil – durch Anwendung von Verhaltensanalyse, Machine Learning und Fingerprinting auf eine vielfältige und riesige Datenmenge

• Einfache Integration mit Ihren anderen Diensten für Sicherheit und Performance von Webanwendungen (z. B. WAF, CDN, DDoS)

• Lässt vertrauenswürdige Bots zu Ihrer Website durch, zum Beispiel solche, die zu Suchmaschinen gehören. Gleichzeitig wird böswilliger Traffic unterbunden.

Neuen Risiken immer einen Schritt voraus sein

Viele Unternehmen nutzen ein Flickwerk aus veralteter Sicherheitshardware, cloudnativen Sicherheitslösungen und selbstentwickelten Sicherheitslösungen, um alle ihre Herausforderungen im Bereich der Anwendungssicherheit zu bewältigen. Doch dieser fragmentierte Ansatz erschwert die Anbindung und den Schutz von SaaS-Anwendungen, Web-Apps und anderen IT-Infrastrukturen. IT-Wildwuchs macht es Angreifern leichter, Sicherheitslücken zu finden und auszunutzen. Ein konsolidierter Plattformansatz sorgt für mehr Sicherheit und latenzfreie Konnektivität sowie für ein schnelleres Geschäftswachstum, da Organisationen bei der Expansion in neue Märkte die Möglichkeit haben, lokale Vorschriften einzuhalten, und das Kundenvertrauen zu stärken.

Anwendungssicherheit von Cloudflare schützt Apps und APIs vor Missbrauch, stoppt bösartige Bots, vereitelt DDoS-Angriffe und überwacht verdächtige böswillige Nutzlasten und Browser-Supply-Chain-Angriffe. Unsere Produkte für Anwendungssicherheit sind eng mit unserer Performance-Suite verzahnt. Sie werden alle über die Connectivity Cloud von Cloudflare bereitgestellt – die nächste Entwicklungsstufe der öffentlichen Cloud, die eine einheitliche, intelligente Plattform mit programmierbaren, zusammenstellbaren Services in einem programmierbaren globalen Cloud-Netzwerk bietet.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Die Rolle von Anwendungen und APIs in der modernen Geschäftswelt und Kommunikation

• Drei neue Trends bei Webanwendungen und API, die sofortige Aufmerksamkeit von CISOs erfordern

• Praktische Empfehlungen, die Unternehmen helfen, Bedrohungen einen Schritt voraus zu sein

Verwandte Ressourcen

• Stand der Anwendungssicherheit im Jahr 2024

• Kurzdarstellung: Globale Sicherheit 2024

• Client-seitige Angriffe nehmen zu