Die Anwendungsprogrammierschnittstelle (API) ist ein unbesungener Held der digitalen Revolution. Es ist der Klebstoff, der verschiedene Softwarekomponenten zusammenhält, um neue Benutzererlebnisse zu schaffen. APIs bieten jedoch auch einen direkten Pfad zu Back-End-Datenbanken attraktives Ziel für Bedrohungsakteure. Es hilft nicht, dass ihre Zahl in den letzten Jahren explosionsartig zugenommen hat, was dazu geführt hat, dass viele Einsätze undokumentiert und ungesichert erfolgten.

Laut eine aktuelle Studie94 % der weltweiten Unternehmen hatten im vergangenen Jahr API-Sicherheitsprobleme in der Produktion, wobei fast ein Fünftel (17 %) einen API-bezogenen Verstoß erlitt. Es ist an der Zeit, Sichtbarkeit und Kontrolle über diese digitalen Bausteine ​​zu erlangen.

Wie schlimm sind API-Bedrohungen?

APIs sind der Schlüssel dazu zusammensetzbares Unternehmen: ein Gartner-Konzept, bei dem Organisationen dazu ermutigt werden, ihre Anwendungen zu unterteilen gebündelte Geschäftsfunktionen (PBCs). Die Idee dahinter ist, dass die Zusammenstellung dieser kleineren Komponenten auf unterschiedliche Weise es Unternehmen ermöglicht, flexibler und schneller zu agieren und neue Funktionen und Erfahrungen als Reaktion auf sich schnell entwickelnde Geschäftsanforderungen zu schaffen. APIs sind eine wichtige Komponente von PBCs, deren Verwendung in letzter Zeit mit der zunehmenden Einführung von Microservices-Architekturen stark zugenommen hat.

Fast alle (97 %) globalen IT-Führungskräfte daher jetzt einverstanden dass die erfolgreiche Umsetzung einer API-Strategie für zukünftige Einnahmen und Wachstum von entscheidender Bedeutung ist. Aber zunehmend gibt die schiere Menge an APIs und ihre Verteilung über mehrere Architekturen und Teams Anlass zur Sorge. In einem großen Unternehmen kann es Zehntausende oder sogar Hunderttausende kunden- und partnerorientierte APIs geben. Selbst mittelständische Unternehmen beschäftigen möglicherweise Tausende.

Welche Auswirkungen hat dies auf Unternehmen?

Auch die Drohungen sind alles andere als theoretisch. Allein dieses Jahr haben wir Folgendes gesehen:

• T-Mobile USA gibt zu dass ein böswilliger Akteur über eine API auf die persönlichen Daten und Kontodaten von 37 Millionen Kunden zugegriffen hat
• Falsch konfigurierte offene Autorisierung (OAuth) Realisierungen auf Booking.com, was schwerwiegende Angriffe zur Übernahme von Benutzerkonten auf der Website hätte ermöglichen können

Durch API-Bedrohungen sind nicht nur der Ruf des Unternehmens und das Geschäftsergebnis gefährdet. Sie können auch wichtige Geschäftsprojekte aufhalten. Mehr als die Hälfte (59 %) der Organisationen behaupten  dass sie die Einführung neuer Apps aufgrund von API-Sicherheitsbedenken verlangsamen mussten. Das ist einer der Gründe, warum es mittlerweile für die Hälfte der Vorstände ein Diskussionsthema auf C-Ebene ist.

Die drei größten API-Risiken

Es gibt Dutzende Möglichkeiten, wie Hacker eine API ausnutzen können, aber OWASP ist die erste Anlaufstelle für diejenigen, die die größten Bedrohungen für ihr Unternehmen verstehen möchten. Es ist OWASP API Security Top 10 2023-Liste beschreibt die folgenden drei Hauptsicherheitsrisiken:

1. Broken Object Level Authorization (BOLA): Die API kann nicht überprüfen, ob ein Anforderer Zugriff auf ein Objekt haben sollte. Dies kann zu Datendiebstahl, -änderung oder -löschung führen. Angreifer müssen sich nur darüber im Klaren sein, dass das Problem besteht – es sind keine Code-Hacks oder gestohlenen Passwörter erforderlich, um BOLA auszunutzen.
2. Unterbrochene Authentifizierung: Fehlender und/oder falsch implementierter Authentifizierungsschutz. Die API-Authentifizierung kann für viele Entwickler „komplex und verwirrend“ sein, da sie möglicherweise falsche Vorstellungen davon haben, wie sie implementiert werden soll, warnt OWASP. Auch der Authentifizierungsmechanismus selbst ist für jedermann zugänglich, was ihn zu einem attraktiven Angriffsziel macht. API-Endpunkte, die für die Authentifizierung verantwortlich sind, müssen anders als andere behandelt werden und einen verbesserten Schutz bieten. Und jeder verwendete Authentifizierungsmechanismus muss für den jeweiligen Angriffsvektor geeignet sein.
3. Autorisierung auf Eigenschaftsebene gebrochener Objekte (BOPLA): Angreifer können die Werte von Objekteigenschaften lesen oder ändern, auf die sie nicht zugreifen sollen. API-Endpunkte sind anfällig, wenn sie die Eigenschaften eines Objekts offenlegen, die als sensibel gelten („übermäßige Datenoffenlegung“); oder wenn sie einem Benutzer erlauben, den Wert der Eigenschaft eines sensiblen Objekts zu ändern, hinzuzufügen/oder zu löschen („Massenzuweisung“). Ein unbefugter Zugriff kann zur Offenlegung der Daten gegenüber Unbefugten, zu Datenverlust oder zur Datenmanipulation führen.

Es ist auch wichtig zu bedenken, dass sich diese Schwachstellen nicht gegenseitig ausschließen. Einige der schlimmsten API-basierten Datenverstöße wurden durch eine Kombination aus Exploits wie BOLA und übermäßiger Datengefährdung verursacht.

So entschärfen Sie API-Bedrohungen

Angesichts dessen, was auf dem Spiel steht, ist es wichtig, dass Sie Sicherheit von Anfang an in jede API-Strategie einbauen. Das bedeutet, dass Sie verstehen, wo sich alle Ihre APIs befinden, und Tools und Techniken schichten, um die Endpunktauthentifizierung zu verwalten, die Netzwerkkommunikation zu sichern, häufige Fehler zu entschärfen und die Bedrohung durch schädliche Bots zu bekämpfen.

Hier sind einige Anlaufstellen:

• Verbessern Sie die API-Governance indem Sie einem API-zentrierten App-Entwicklungsmodell folgen, das Ihnen Transparenz und Kontrolle ermöglicht. Auf diese Weise verlagern Sie die Sicherheit nach links, um Kontrollen frühzeitig im Softwareentwicklungslebenszyklus anzuwenden und sie in der CI/CD-Pipeline zu automatisieren
• Verwenden Sie API-Erkennungstools um die Anzahl der bereits in der Organisation vorhandenen Schatten-APIs zu eliminieren und zu verstehen, wo sich APIs befinden und ob sie Schwachstellen enthalten
• Stellen Sie ein API-Gateway bereit das Kundenanfragen entgegennimmt und sie an die richtigen Backend-Dienste weiterleitet. Dieses Verwaltungstool hilft Ihnen bei der Authentifizierung, Steuerung, Überwachung und Sicherung des API-Verkehrs
• Fügen Sie eine Web Application Firewall (WAF) hinzu. um die Sicherheit Ihres Gateways zu erhöhen und böswilligen Datenverkehr, einschließlich DDoS- und Ausnutzungsversuche, zu blockieren
• Alle Daten verschlüsseln (z. B. über TLS) Es läuft über APIs und kann daher nicht bei Man-in-the-Middle-Angriffen abgefangen werden
• Verwenden Sie OAuth zur Steuerung des API-Zugriffs auf Ressourcen wie Websites zugreifen, ohne Benutzeranmeldeinformationen preiszugeben
• Wenden Sie eine Ratenbegrenzung an, um einzuschränken, wie oft Ihre API aufgerufen werden kann. Dadurch wird die Bedrohung durch DDoS-Angriffe und andere unerwünschte Spitzen gemindert
• Verwenden Sie ein Überwachungstool um alle Sicherheitsereignisse zu protokollieren und verdächtige Aktivitäten zu kennzeichnen
• Erwägen Sie einen Zero-Trust-Ansatz Dies besagt, dass keinen Benutzern, Vermögenswerten oder Ressourcen innerhalb des Perimeters vertraut werden kann. Stattdessen müssen Sie für jeden Vorgang einen Authentifizierungs- und Autorisierungsnachweis verlangen

Die digitale Transformation ist der Treibstoff für nachhaltiges Wachstum moderner Unternehmen. Dadurch stehen APIs im Mittelpunkt jedes neuen Entwicklungsprojekts. Sie müssen streng dokumentiert, mit Secure-by-Design-Prinzipien entwickelt und in der Produktion mit einem mehrschichtigen Ansatz geschützt werden.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
• Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
• Quelle: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/