Cloudflare startete am Montag eine offene Beta-Version seines KI-gestützten Web- und API-Schwachstellen-Scanners, eines neuen Sicherheitstools, das komplexe Fehler in Webanwendungen und APIs automatisch erkennt. Der Scanner, in Cloudflares API Shield-Dienst integriert, nutzt künstliche Intelligenz, um API-Verhaltensmuster abzubilden und kritische Schwachstellen wie Broken Object Level Authorization zu identifizieren und so der größten Gefahr moderner Webdienste entgegenzuwirken.
Der neue Scanner verfolgt einen zustandsbasierten Ansatz, der logische Abläufe und Datenabhängigkeiten innerhalb von APIs nachvollzieht, eine deutliche Abkehr von herkömmlichen zustandslosen Sicherheitstools, die jede Anfrage separat betrachten, laut Cloudflares offizieller Blog-Ankündigung. Diese Methode zielt konkret auf Geschäftslogik-Fehler ab, die klassische Scanner übersehen.
So funktioniert es
Der Scanner basiert auf einem komplexen mehrstufigen Prozess. Zunächst liest er die OpenAPI Specification eines Kunden ein, um einen „API Call Graph“ zu erstellen, der Beziehungen zwischen verschiedenen Endpunkten abbildet. Cloudflares Workers AI Plattform analysiert anschließend diesen Graphen, um automatisch Datenabhängigkeiten abzuleiten, selbst wenn Benennungskonventionen zwischen Endpunkten abweichen.
Das System führt Scans durch, die in zwei authentifizierten Kontexten stattfinden: einem Besitzer, der Ressourcen anlegt, und einem Angreifer, der versucht, unautorisierten Zugriff zu erlangen. Wenn der Angreifer Ressourcen manipuliert, die er nicht kontrollieren dürfte, markiert der Scanner eine kritische Schwachstelle.
Marktauswirkungen
Die Beta-Version, aktuell allen API Shield-Kunden zugänglich, konzentriert sich primär auf Broken Object Level Authorization (BOLA), die absolute Nummer eins auf der OWASP API Security Top 10-Liste. Cloudflare plant, den Schutzbereich zeitnah auf SQL-Injection- und Cross-Site-Scripting-Schwachstellen auszuweiten, wie das Unternehmen ankündigte.
Dieser Schritt positioniert Cloudflare direkt gegenüber spezialisierten API-Security-Anbietern wie Salt Security und Noname Security sowie klassischen Anbietern von AppSec-Testing-Lösungen, darunter Checkmarx und Invicti. Da Cloudflare fortschrittliche Scan-Funktionen in seine bestehende Security-Suite einbindet, bietet das Unternehmen Kunden eine attraktive Alternative zu eigenständigen Lösungen.
Die tiefe Integration des Scanners in Cloudflares Edge-Netzwerk bietet einen einmaligen Vorteil. Er verknüpft die passive Traffic-Analyse von API-Discovery-Tools mit aktivem Schwachstellen-Testing, wodurch eine Echtzeit-Verifizierung potenzieller Bedrohungen ermöglicht wird, die im Live-Traffic erkannt wurden, gebündelt auf einer einzigen Plattform.
Für den Datenschutz setzt Cloudflare HashiCorps Vault Transit Secret Engine ein, um Kundendaten zuverlässig zu verschlüsseln und sicherzustellen, dass sie während des Scanvorgangs geschützt bleiben. Das Unternehmen hat bislang keine konkreten Kennzahlen zur Erkennungsgenauigkeit oder zukünftige Preismodelle für den Dienst bekanntgegeben.
Sources
- blog.cloudflare.com
