74 % der Unternehmen sind nun „API-first“
Wie Einzellösungen größere Schwachstellen geschaffen haben
Ende 2022 kam es bei T-Mobile aufgrund einer ausgenutzten API zu einer Datenschutzverletzung bei 37 Millionen Kundenkonten. Dieser und andere Verstöße, die T-Mobile betrafen, führten zu einer Vergleichszahlung mit der Federal Communications Commission (FCC) in Höhe von 31,5 Mio. USD. Viele andere Unternehmen sind gerade mit API-Angriffen konfrontiert, die durch die Übernahme von Konten und den Diebstahl von Kreditkartendaten zu Betrug führen können.
Die Nutzung von Application Programming Interfaces (APIs) für die Softwareentwicklung nimmt schnell zu. Dieser Trend beschleunigt die Innovation, schafft aber auch neue Risiken für Unternehmen.
APIs werden zunehmend eingesetzt, um die Integration neuer Features, Funktionen und Datenquellen in Software zu optimieren – einschließlich der Large Language Models (LLMs), die für die generative KI verwendet werden. Laut einem Bericht des API Collaboration-Plattform-Anbieters Postman handelte es sich 2024 bei 74 % der Befragten um API-first Unternehmen, gegenüber 66 % im Vorjahr. Gartner berichtet, dass mehr als 80 % der Umfrageteilnehmer APIs intern verwenden, während etwas mehr als 70 % auch APIs von Drittanbietern nutzen, z. B. die von SaaS-Anbietern bereitgestellten APIs.
Durch den Einsatz von APIs zur Vernetzung von Software mit neuen Funktionen und Datenquellen vergrößert sich leider auch die Angriffsfläche eines Unternehmens. APIs sind einem ganzen Spektrum von Angriffen ausgesetzt, darunter Zero-Day-Exploits, Distributed-Denial-of-Service-Angriffe (DDoS), Authentifizierungsmissbrauch und mehr.
Welches sind die wichtigsten API-Risiken? Wie kann Ihr Unternehmen diesen Risiken begegnen, damit Sie die Vorteile von APIs weiterhin maximieren können?
API-Sicherheitsrisiken und Grenzen bestehender Lösungen verstehen
Für Angreifer sind APIs ein vorrangiges Ziel. Viele Angreifer erkennen zu Recht, dass Unternehmen neue APIs oft schnell einführen, ohne angemessene Sicherheitsmaßnahmen zu implementieren.
Diese Angreifer finden mehrere Wege, um API-Schwachstellen auszunutzen. Viele nutzen die Schwachstellen bei der Autorisierung und Authentifizierung aus, die zu den größten API-Sicherheitsrisiken gehören. Diese Risiken sind für APIs noch schwerwiegender als für Web- und Mobil-Apps: APIs können sensible und dynamische Informationen enthalten, die nicht fest codiert oder im Klartext belassen werden können, wie es bei einer Web- oder einer Mobil-App der Fall sein kann. Wenn APIs über keine Authentifizierung verfügen oder übermäßig laxe Autorisierungsrichtlinien haben, sind sie anfällig für Angriffe mit fehlerhafter Autorisierung auf Objektebene (BOLA), die zu unberechtigtem Datenzugriff führen können.
Andere Angreifer starten DDoS-Angriffe, bei denen eine überwältigende Anzahl von Anfragen an APIs gesendet wird, die keine Beschränkungen für Anfragen haben. Wenn Angreifer mit BOLA, DDoS oder anderen Angriffen erfolgreich sind, können sie möglicherweise auf eine Reihe von Nutzerdaten zugreifen, die durch die API geleitet werden, z. B. Kreditkarteninformationen, Gesundheitsdaten oder andere persönlich identifizierbare Informationen.
Unternehmen schützen den API-Traffic häufig mit herkömmlichen Regeln für Web Application Firewalls (WAF). Das von diesen Lösungen verwendete „negative“ Sicherheitsmodell, das nur bekannte Bedrohungen blockiert, reicht jedoch nicht aus, um viele moderne, API-spezifische Angriffe abzufangen. Mittlerweile implementieren zu viele Unternehmen einen Flickenteppich aus Einzellösungen für die App- und API-Sicherheit, was Lücken in der Abdeckung hinterlässt und gleichzeitig die Verwaltung erheblich komplizierter macht.
Risiken mit einer vielschichtigen unternehmensweiten API-Sicherheitsstrategie bekämpfen
Die Beseitigung von Schwachstellen und das Stoppen des gesamten Spektrums von API-spezifischen Angriffen erfordert eine vielschichtige API-Strategie für Unternehmen. Teams müssen Best Practices implementieren, um besser zu verstehen, welche APIs sie im gesamten Unternehmen verwenden, und dann Schwachstellen zu lokalisieren, bösartigen Traffic zu blockieren, Daten zu schützen und die Verwaltung zu optimieren.
Sichtbarkeit erhöhen: Es ist schwer, etwas zu schützen, wenn Sie nicht wissen, dass es existiert. Dennoch haben viele IT- und Sicherheitsteams keinen vollständigen Überblick über die APIs, die im gesamten Unternehmen im Einsatz sind. Laut einer aktuellen Analyse von API-Aufrufen und HTTP-Anfragen verfügten Unternehmen über 33 % mehr öffentlich zugängliche API-Endpunkte, als ihnen bewusst war.
Die API-Erkennung ist ein wichtiger erster Schritt zum Schutz dieser essenziellen Komponenten. Die Inventarisierung von internen und externen APIs kann Ihnen helfen, die Verwendung von „Schatten-API“ zu beseitigen und eine kohärente API-Sicherheitsstrategie zu entwickeln.
Gleichzeitig kann die API-Erkennung dazu beitragen, die Entwicklungseffizienz zu verbessern, indem sie bereits vorhandene, vorgefertigte Funktionen aufdeckt. Der Aufbau eines API-Katalogs wird es Entwicklern ermöglichen, die benötigte Funktionalität leicht zu finden und zu integrieren – und das Schreiben von Code für Funktionen zu vermeiden, die bereits von APIs abgedeckt werden.Machine Learning nutzen: API-Erkennung muss kein mühsamer manueller Prozess sein. Dienste, die Machine Learning einsetzen, können nach API-Traffic suchen, der sonst möglicherweise nicht erfasst würde.
Machine Learning kann auch den API-Schutz verbessern. Insbesondere können Sie einen auf Machine Learning basierenden Dienst verwenden, um Angriffe zu erkennen, die möglicherweise nur langsam im Zeitverlauf ausgeführt werden. Diese Angriffe sind darauf ausgelegt, Tools zu umgehen, die volumetrische Techniken erkennen.Ermittlung Ihrer API-Risiken: Sobald Sie besser verstanden haben, welche APIs Ihr Unternehmen einsetzt, müssen Sie deren potenzielle Risiken ermitteln. Natürlich kann das Aufspüren potenzieller Probleme – und deren Behebung – überwältigend erscheinen, insbesondere wenn Ihr Unternehmen neu im Bereich der API-Sicherheit ist. Die Implementierung des richtigen API-Sicherheitstools kann Teams dabei helfen, Fehlkonfigurationen bei der Authentifizierung, Risiken des Verlusts sensibler Daten, Schwachstellen bei BOLA-Angriffen und mehr zu erkennen. Er kann dann Kontrollen und Richtlinien empfehlen, um Ihr Sicherheitsniveau zu verbessern.
Schaffen Sie ein positives Sicherheitsmodell: Um APIs besser zu schützen, sollten Unternehmen sich von negativen Sicherheitsmodellen verabschieden, die nur bekannte Bedrohungen blockieren. Durch die Implementierung eines „positiven“ Sicherheitsmodells kann mehr bösartiger Traffic abgefangen werden. Sie können nur Traffic akzeptieren, der mit Ihren OpenAPI-Schemata übereinstimmt, und alle anderen Anforderungen blockieren.
Implementieren Sie Schutz vor Datenverlust: Eine API-Strategie muss das Durchsickern sensibler Daten stoppen, die über APIs ausgetauscht werden können. Am besten ist ein proaktiver Ansatz. Das kontinuierliche Scannen von Antwort-Payloads auf sensible Daten kann Ihnen helfen, Versuche der Datenexfiltration zu erkennen und zu verhindern.
API-Tools konsolidieren: Die Einführung mehrerer APIs bietet Entwicklern ein effektives Mittel, um App-Funktionen schnell zu erweitern – aber sie erhöht auch die Komplexität von bereits komplexen IT-Umgebungen. Durch die Konsolidierung von Tools zur Entwicklung von Anwendungen, zur Steigerung der Performance und zur Stärkung der Sicherheit können Sie die Transparenz verbessern und die Kontrolle über Ihre IT-Umgebung zurückgewinnen.
Eine Connectivity Cloud kann eine einheitliche Plattform bieten, die es Ihnen ermöglicht, API-Erkennung, Anwendungsentwicklung, Performance-Optimierung und Sicherheit zu übernehmen, ohne sich mit mehreren Einzellösungen auseinandersetzen zu müssen. Mit einer einheitlichen Plattform können Sie Sicherheit besser in den Entwicklungsprozess integrieren und stärkere DevSecOps-Workflows schaffen, die potenzielle Sicherheitsprobleme schon in einem frühen Stadium des Entwicklungsprozesses angehen und Hindernisse für die schnelle Bereitstellung neuer Funktionen beseitigen.
Vorankommen in einer von APIs dominierten Welt
Unabhängig davon, ob Sie ein API-first-Unternehmen leiten oder APIs fallweise zur Beschleunigung der innovativen Entwicklung einführen, sollte der Schutz dieser wichtigen Schnittstellen hohe Priorität haben. Die Angreifer haben deutlich gemacht, dass sie APIs als verwundbare Ziele betrachten. Die Entwicklung der richtigen API-Strategie für Unternehmenssicherheit kann Ihnen helfen, Schwachstellen zu beheben, ohne die Verwaltungskomplexität zu erhöhen, die durch mehrere Einzellösungen entstehen kann.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Weitere Informationen zur Absicherung von APIs finden Sie im E-Book „API-Sicherheit: Ein Leitfaden für CISOs“.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Primäre Schwachstellen der APIs, die für die Beschleunigung der Innovation entscheidend sind
Grenzen bestehender Sicherheitsstrategien
Wie Sie mit bewährten API-Sicherheitspraktiken Schwachstellen beseitigen und Bedrohungen besser erkennen können