CISSP, Ping Identity Regional Solutions Architect
Workshop
IAM & API-Sicherheit
Dieser Praxis-Workshop zeigt wie Unternehmen ihre IAM-Funktionalität systematisch erweitern können.
Immer mehr Unternehmen setzen heute auf APIs. Mit jeder neuen Programmierschnittstelle bieten Sie Cyberkriminellen aber auch eine weitere Möglichkeit, sich Zugang zu Ihren Daten, Applikationen und Businesssystemen zu verschaffen. Natürlich verfügen API-Gateways und Anbieter von IAM-Lösungen über grundlegende Sicherheits-Features, um APIs vor den üblichen Bedrohungen zu schützen, aber auch die Hacker schlafen nicht. Sie nutzen mittlerweile das gesamte Spektrum, von Social Engineering bis hin zur sprichwörtlichen „Brechstange", um solche eher simplen Sicherheits-Tools auszuhebeln und auf Ihre kritischen Daten und Systeme zuzugreifen.
Um APIs zuverlässig zu schützen, sind leistungsstarke Sicherheitsmechanismen erforderlich. Sie sollten aber auch in der Lage sein, auffällige Aktivitäten zu erkennen, sobald ein Angreifer die erste Verteidigungslinie durchbrochen hat. Auf diese Weise können Sie umgehend aktiv werden, wenn kriminelle Verhaltensmuster aufgedeckt werden.
API-Management-Tools bieten wichtige Sicherheits-Features für den Schutz Ihrer APIs, wie zum Beispiel User-Authentifizierung und Volumen-Limits. Auf diese Weise sorgen sie dafür, dass interne Benutzergruppen, Partner, Kunden und externe Entwickler sicher auf Ihre Ressourcen zugreifen können. Allerdings sind diese Tools meist nicht in der Lage, Angriffe zu stoppen, die sich speziell gegen APIs und die über sie zugänglichen Daten und Systeme richten. Und eben weil es für Hacker so attraktiv ist, über APIs illegal auf Daten und Systeme zuzugreifen, haben sie mittlerweile zahllose Methoden entwickelt, um herkömmliche Sicherheitslösungen auszutricksen. Die gute Nachricht lautet: Mithilfe intelligenter Schutzmechanismen lassen sich die häufigsten API-Angriffe stoppen, bei denen traditionelle API-Sicherheits-Tools versagen.
Und genau diese zeigen wir Ihnen an vier Szenarien live im Workshop.
Lücke Nr. 1: Login-Angriffe
Lücke Nr. 2: DDOS-Angriffe auf APIs
Lücke Nr. 3: Angriffe auf Applikationen und Daten
Lücke Nr. 4: Umfassende Transparenz beim API-Traffic