Karsten Müller-Corbach

CISSP, Ping Identity Regional Solutions Architect  

Karsten Müller-Corbach

Workshop

IAM & API-Sicherheit 

Dieser Praxis-Workshop zeigt wie Unternehmen ihre IAM-Funktionalität systematisch erweitern können.

Immer mehr Unternehmen setzen heute auf APIs. Mit jeder neuen Programmierschnittstelle bieten Sie Cyberkriminellen aber auch eine weitere Möglichkeit, sich Zugang zu Ihren Daten, Applikationen und Businesssystemen zu verschaffen. Natürlich verfügen API-Gateways und Anbieter von IAM-Lösungen über grundlegende Sicherheits-Features, um APIs vor den üblichen Bedrohungen zu schützen, aber auch die Hacker schlafen nicht. Sie nutzen mittlerweile das gesamte Spektrum, von Social Engineering bis hin zur sprichwörtlichen „Brechstange", um solche eher simplen Sicherheits-Tools auszuhebeln und auf Ihre kritischen Daten und Systeme zuzugreifen.

Um APIs zuverlässig zu schützen, sind leistungsstarke Sicherheitsmechanismen erforderlich. Sie sollten aber auch in der Lage sein, auffällige Aktivitäten zu erkennen, sobald ein Angreifer die erste Verteidigungslinie durchbrochen hat. Auf diese Weise können Sie umgehend aktiv werden, wenn kriminelle Verhaltensmuster aufgedeckt werden. 

API-Management-Tools bieten wichtige Sicherheits-Features für den Schutz Ihrer APIs, wie zum Beispiel User-Authentifizierung und Volumen-Limits. Auf diese Weise sorgen sie dafür, dass interne Benutzergruppen, Partner, Kunden und externe Entwickler sicher auf Ihre Ressourcen zugreifen können. Allerdings sind diese Tools meist nicht in der Lage, Angriffe zu stoppen, die sich speziell gegen APIs und die über sie zugänglichen Daten und Systeme richten. Und eben weil es für Hacker so attraktiv ist, über APIs illegal auf Daten und Systeme zuzugreifen, haben sie mittlerweile zahllose Methoden entwickelt, um herkömmliche Sicherheitslösungen auszutricksen. Die gute Nachricht lautet: Mithilfe intelligenter Schutzmechanismen lassen sich die häufigsten API-Angriffe stoppen, bei denen traditionelle API-Sicherheits-Tools versagen.

Und genau diese zeigen wir Ihnen an vier Szenarien live im Workshop.

Lücke Nr. 1: Login-Angriffe  

Lücke Nr. 2: DDOS-Angriffe auf APIs

Lücke Nr. 3: Angriffe auf Applikationen und Daten

Lücke Nr. 4: Umfassende Transparenz beim API-Traffic

Zurück zum Programm

News

Prof. Dr.-Ing. habil. Horst Zuse spricht am 1.12.2020

Professor Dr.-Ing. habil. Horst Zuse ist der Sohn des Erfinders des Computers, Konrad Zuse. Er berichtet von den frühesten Entwicklungen als wichtiger Zeitzeuge: Wie alles begann.

Kontrollierter Zugang zu sensiblen Daten

Systemadministratoren schaffen mit ihren privilegierten Accounts ein hohes Risikopotential, weil sie durch ihre uneingeschränkten Berechtigungen Zugriff auf alle Unternehmensdaten haben. Sorgfältige Überlegungen wie „wer benötigt wirklich einen privilegierten Zugang ins Unternehmensnetzwerk?“ und „wie werden diese Accounts sicher verwaltet?“ zahlen sich früher oder später aus. 

>> Zum Fachbeitrag auf it-daily.net

Digitale Identitäten - Prognosen für 2020

Digitale Identitäten für Menschen und Maschinen werden die nächsten Jahre prägen. Darrell Long von One Identity weist in seiner Prognose auf die Zusammenhänge zwischen Robotik-Prozessautomatisierung, Cloud, Compliance, Datendiebstahl,  Künstliche Intelligenz und das Identity & Access Management hin.

>> Zum Fachbeitrag auf it-daily.net