theNet von CLOUDFLARE

Der Stand der API-Sicherheit

Gedanken zu 2023, Vorsätze für 2024

Dieser Artikel basiert auf einem Vortrag, den ich auf der Black Hat MEA im November 2023 gehalten habe. Er untersucht den Stand der API-Sicherheit am Ende des Jahres. Dafür gibt es zwei Hauptgründe. Der erste Grund ist derselbe wie in den letzten Jahren: Die Verwendung von API hat zugenommen. Sie dominieren den Großteil des HTTP-Traffics. Zweitens, und das ist vielleicht noch wichtiger, geht dieses Wachstum mit einer Zunahme der Angriffe auf diese API einher. Trotz der Veröffentlichung einer aktualisierten OWASP-Top-Ten-API-Liste sollte die anhaltende Zunahme von API-Angriffen vielleicht ein größerer Grund zur Sorge sein. Betrachten wir das Problem, die Ursachen und die Lösungen, die für die Stärkung von API-Ökosystemen entscheidend sind.


Die aktuelle API-Landschaft

In den letzten Jahren haben sich API zu immer leistungsfähigeren Werkzeugen entwickelt. Sie machen es möglich, auf bestehenden Technologien aufzubauen, um besser integrierte und dynamischere Anwendungen zu entwickeln. Sie sind zu Wegbereitern für dynamische Softwareanwendungen und Unternehmen geworden. Sie können auch eingesetzt werden, um das Leben besser zu machen. So könnte beispielsweise ein Gemeinderat in Großbritannien die von der Environment Agency Rainfall API bereitgestellten Niederschlagsdaten nutzen, um Wettertrends in seinem Gebiet zu erkennen und sich entsprechend vorzubereiten. Eine Gruppe, die sich für bürgerschaftliches Engagement einsetzt, könnte eine Anwendung entwickeln, die mit API integriert werden kann, um den Bürgern Informationen über bevorstehende Wahlen, Wahllokale und Kandidaten zur Verfügung zu stellen. Es gibt auch regulatorische Gründe wie Open Banking, wobei Banken in immer mehr Ländern anderen Banken und Drittanbietern API-Zugang zu den Finanzdaten ihrer Kunden gewähren müssen. Dies stärkt den Wettbewerb, was letztlich den Verbrauchern zugutekommt.

Mit der wachsenden Zahl von API hat auch die Zahl der Angriffe auf API zugenommen. Bereits für 2021 prognostizierte Gartner, dass sich der API-Missbrauch von einem seltenen zu einem der häufigsten Angriffsvektoren entwickeln und zu Datenschutzverletzungen in Webanwendungen von Unternehmen führen wird. Trotz zahlreicher Warnungen sind API-Angriffe immer noch weitgehend erfolgreich. In den vergangenen Jahren sind bereits einige bekannte Organisationen Opfer geworden. OWASP, eine Organisation, die sich der Verbesserung der Sicherheit von Webanwendungen widmet, veröffentlichte 2019 erstmals eine API-spezifische Version ihrer Top 10 Risiken. Die Liste wurde dieses Jahr aktualisiert. Leider wurde auch die Liste der großen Unternehmen ergänzt, die Opfer von Angriffen wurden. Einige von ihnen zweimal in diesem Jahr. Wenn große Unternehmen Opfer von Angriffen werden, kann man sich vorstellen, was mit Unternehmen passiert, die nicht in die Nachrichten kommen. Es ist gut möglich, dass dieses Jahr ein Rekordjahr für API-Verletzungen wird. (Ich habe bewusst darauf verzichtet, konkrete Unternehmen zu nennen, weil ich nicht mit dem Finger auf sie zeigen möchte).

Dieses Problem betrifft uns alle. Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich weltweit auf 4,45 Millionen USD. Und doch befinden sich immer mehr unserer persönlichen Daten in den Händen von Organisationen, die nicht immer über ausreichende Sicherheitsvorkehrungen verfügen, auch wenn sie sich dessen nicht bewusst sind. Die Offenlegung von Daten oder Kontoübernahmen, die zu Identitätsdiebstahl führen, sind Phänomene, mit denen Menschen häufiger konfrontiert sind, als sie es sein sollten. Die Zunahme von API-Angriffen unterstreicht die Notwendigkeit eines besseren Verständnisses und einer ausgefeilteren Abwehrstrategie.


Herausforderungen für die Sicherheit

Die wichtigsten Herausforderungen für die Sicherheit im vergangenen Jahr lassen sich in diese fünf Bereiche unterteilen:

  1. Authentifizierungs-/Autorisierungsproblem: Sicherheitsverletzungen sind häufig auf Schwachstellen in Authentifizierung-/Autorisierungsmechanismen zurückzuführen. Ob es sich um kompromittierte Anmeldedaten, schwache Authentifizierungsmethoden oder unzureichende Prozesse/Protokolle handelt – die zentrale Bedeutung der Identität ist ein Punkt, der sich nicht mit der Bedrohungslandschaft weiterentwickelt. Broken Object Level Authorisation (BOLA) ist auf beiden OWASP-Listen die Nummer eins unter den API-Sicherheitsrisiken, und das mit einem Abstand von mehreren Jahren.

  2. Die Verbreitung von API: Das Wachstum von API, sowohl intern als auch öffentlich, ist schwindelerregend. Die Vielfalt der API und ihr Anwendungskontext stellen eine ständig wachsende Herausforderung dar.

  3. Ihre WAF: Hat in der Regel keine Bedeutung für API-spezifischen Traffic und kann den oben genannten ersten Punkt nicht lösen. Die meisten Angriffe erscheinen als legitimer Datenverkehr und viele WAFs (einschließlich solcher mit Machine-Learning-Elementen) lassen sie passieren. Als erster Schritt fehlt das Misstrauen gegenüber der eigenen WAF. Eine entsprechende Folie aus meinem Vortrag:

  4. Festgefahren in der Mitte: Die Unfähigkeit, einen Gang hochzuschalten, obwohl ihre Bedeutung allgemein anerkannt ist, schwächt die Implementierung eines soliden End-to-End-Schutzes erheblich. Viele Teams sind immer noch nicht mit der Idee vertraut, Sicherheit bei der Konzeption und Entwicklung zu berücksichtigen. Ebenso wie die Tatsache, dass dies ein kontinuierlicher, anpassungsfähiger Prozess sein sollte.

  5. API-Konfiguration: Fehlkonfigurationen, die Achillesferse der API-Sicherheit, sind nach wie vor ein Problem bei der Verwaltung der API-Sicherheit. Dabei geht es um verschiedene Aspekte, die bei der Implementierung einer API schief gehen können, z. B. die Aktivierung ungenutzter Methoden, das Beibehalten ungenutzter Endpunkte und übermäßige Protokollierung. Man verlässt sich auf statische Konfigurationen anstatt auf kontinuierliche, adaptive Anpassungen, die auf sich ändernden Bedrohungsdaten basieren.


Blocker

Fortschritte in diesem Bereich werden durch drei wesentliche Faktoren behindert:

  1. Fachkenntnis/Kompetenz:: Unwissenheit. Einzelpersonen/Teams ohne Fachkenntnisse, Verständnis oder Bewusstsein für API-spezifische Sicherheit. Dies kann auf einen Mangel an Kenntnissen, Schulungen oder Neugierde zurückzuführen sein.

  2. Ressourcen: Budget. Teams müssen mit begrenzten Ressourcen mehr erreichen. Erfahrene Entwickler benötigen höhere Gehälter. API-spezifische Sicherheitswerkzeuge oder Gateways sind in der Regel nicht kostenlos erhältlich. Auch Schulungen gelten als kostspielig. Unternehmen berücksichtigen die Kosten eines Angriffs nicht, wenn sie ihre Ressourcen zuteilen.

  3. Prioritäten: Deadlines. Oft ist die Markteinführung eines neuen Produkts/einer neuen API wichtiger als die Sicherheitsvorkehrungen, die für ihre Freigabe erforderlich sind. Wenn Sicherheit und Entwicklung nicht wie ein Orchester zusammenspielen, wird das Unternehmen in Zukunft in die Schlagzeilen geraten.

Wichtig ist, dass sich diese Aspekte nicht gegenseitig ausschließen.


Wichtige Lösungen für die Zukunftsforschung

  • Sichtbarkeit: Was Sie nicht sehen, können Sie auch nicht schützen. Ob Sie es nun Discovery oder Inventory nennen, Ihr Team muss immer wissen, was sich wo befindet. Schatten-, Zombie-, Beta- und unsichtbare API sind ein schneller Weg für Angreifer, in Ihre Infrastruktur einzudringen.

  • Zero-Trust-Architektur: Jede Zugriffsanfrage wird als potenziell böswillig behandelt, bis das Gegenteil bewiesen ist, wodurch sich das Paradigma des Vertrauens ändert. Seien Sie darauf vorbereitet, dass Ihr Identitäts-/SSO-Provider gehackt wird.

  • KI-gesteuerte Anomalieerkennung: Die Integration von künstlicher Intelligenz zur Erkennung von Anomalien in Echtzeit. Unternehmen sollten Algorithmen des maschinellen Lernens einsetzen, um Muster, Verhaltensweisen und Abweichungen zu analysieren und so potenzielle Bedrohungen proaktiv zu erkennen und zu bekämpfen.

  • Tiefere Integration von DevSecOps: Die nahtlose Einbettung von Sicherheit in den Entwicklungsprozess ist nicht mehr nur ein Vorschlag, sondern eine Pflicht. DevSecOps mit Schwerpunkt auf kontinuierlicher Integration und Sicherheit erweist sich als Schlüsselstrategie für widerstandsfähige API-Ökosysteme.

  • Tiefenverteidigung: Ihre Sicherheitsstrategie sollte aus mehreren Schichten bestehen. Wehrt Ihr System volumetrische Angriffe ab? Wenn ja, verfügt es über robuste Autorisierungs-/Authentifizierungsprüfungen? Wenn ja, verfügt es über ein robustes Verschlüsselungsverfahren? Wenn ja, ...

Diese und andere vorgeschlagene, beliebte Lösungen, wie z. B. Bedrohungsmodellierung, dezentralisiertes IAM, Echtzeit-Informationsfeeds, automatische Reaktionen, verbesserte Netzwerksicherheit, Laufzeitvalidierung usw., fallen alle unter drei Hauptkategorien, die Sie im Auge behalten sollten:

  1. Governance – Denken Sie an Ihre Prozesse, Richtlinien und Praktiken

  2. Tools – Investieren Sie in Ihre Technologien

  3. Menschen – Ausbildung, Prüfung, Kultur

Einzelpersonen, Teams und Unternehmen müssen sich darüber im Klaren sein, dass es keine Patentlösung für dieses Problem gibt. Sie müssen Ihre Risikoakzeptanz, Ihre geschäftlichen Anforderungen und Ihre gesetzlichen Bestimmungen berücksichtigen. Außerdem muss man aus vergangenen Angriffen lernen. Wenn Sie Opfer eines Angriffs geworden sind, ist Transparenz hilfreich (nicht nur aus rechtlichen Gründen), sondern auch, damit andere von Ihren Erfahrungen profitieren können.


Herausforderungen der API-Sicherheit meistern

Am Ende des Jahres 2023 ist klar, dass die Bewältigung der komplexen Herausforderung der API-Sicherheit einen vielschichtigen Ansatz erfordert. Er muss die Ursachen gezielt angehen und moderne Lösungen einbeziehen. Unternehmen, die bereit sind, in eine proaktive und dynamische Abwehrstrategie zu investieren, werden sich in der gefährlichen Bedrohungslandschaft besser zurechtfinden. Unternehmen sollten dafür sorgen, dass vom Konzept bis zur Ausmusterung Regeln definiert und durchgesetzt werden.

Bleiben Sie wachsam! Ich wünsche Ihnen ein frohes neues Jahr!

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.


Vertiefung des Themas:

Weitere Informationen zum Schutz von APIs, die das Geschäft vorantreiben, finden Sie im Whitepaper API-Sicherheit: ein Leitfaden.

Get the white paper!

Autor

Damiete King-Harry – @damiete
Solutions Architect, Cloudflare



Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Warum API-Angriffe vielleicht gefährlicher sind als je zuvor

  • Der Wert der OWASP-API-Top-Ten

  • Wie Sie Ihr Unternehmen mit modernen, anspruchsvollen Lösungen schützen können


Verwandte Ressourcen:


Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!