API-Wachstum analog zu Angriffen
Schließen Sie die Lücken, welche die alten Sicherheitslösungen hinterlassen haben
Moderne APIs: Leicht zu benutzen, schwer zu sichern
APIs – kurz für „Application Programming Interface“ – sind die Bausteine vieler moderner Webanwendungen. Genauer gesagt verbinden sie Server, Endgeräte und Software auf eine Art und Weise, die es ermöglicht, eine beliebige Anzahl von Funktionen in nur wenigen Millisekunden auszuführen, von der Synchronisierung mobiler Daten mit der Cloud bis hin zur codefreien Anwendungsentwicklung.
Wie bei allem, was mit dem Internet verbunden ist, gilt auch hier: Je weiter der Einsatz von APIs verbreitet ist, desto attraktiver ist sie für Angreifer. API-Angriffe sind offenbar so häufig wie nie zuvor. In einer kürzlich durchgeführten Umfrage gaben 53 % der Befragten an, dass sie von einem Datenschutzverstoß betroffen waren, der auf kompromittierte API-Tokens zurückzuführen ist.
Dieser zunehmende Einsatz zeigt kritische Lücken in den traditionellen Sicherheitspraktiken und -lösungen auf. Im Zuge der Umstellung auf modernere Sicherheitslösungen müssen Unternehmen drei zentrale Herausforderungen beim Schutz ihrer APIs bewältigen:
Es ist schwierig, API-Dienste über mehrere Cloud-Umgebungen hinweg zu sichern.
API-Entwicklung und Sicherheit gehen nicht Hand in Hand.
Ältere Sicherheitsdienste wurden nicht im Hinblick auf den API-Schutz entwickelt.
Um diese Lücken zu schließen, müssen moderne API-Sicherheitslösungen eine skalierbare, automatisierte API-Bedrohungsabwehr bieten, die es der Sicherheits- und der Technikabteilung ermöglicht, der Ausnutzung von Zero-Day-Schwachstellen und zielgerichteten Angriffen einen Schritt voraus zu sein. Hier kommt der Schutz von Webanwendungen und API (Web Application and API Protection – WAAP) ins Spiel: eine spezielle Plattform mit Sicherheitsdiensten, die eigens für die Verwaltung und den Schutz von API vor einer Reihe komplexer neuer Bedrohungen entwickelt wurde.
Die Kosten eines API-Angriffs
Genau wie APIs selbst werden auch API-Angriffe immer umfangreicher und raffinierter – und die Kosten für ihre Beseitigung steigen.
In einem Bericht der US-Börsenaufsichtsbehörde SEC (United States Securities and Exchange Commission) wurde bekannt, dass T-Mobile eine erhebliche Datenschutzverletzung hatte, die durch eine offene API verursacht wurde. Innerhalb von zwei Monaten verschaffte sich der Angreifer Zugang zu den persönlichen Daten von 37 Millionen Kundenkonten, einschließlich Rechnungsinformationen, E-Mail-Adressen und Telefonnummern.
Noch schlimmer kam es bei Twitter, das aufgrund einer ungepatchten API-Schwachstelle, die Nutzern den Zugriff auf E-Mail-Adressen und damit verbundene Telefonnummern ermöglichte, zur Zielscheibe wurde. Der Fehler wurde erst sieben Monate später entdeckt. Zu diesem Zeitpunkt hatten die Angreifer bereits die Kontodaten von 235 Millionen Nutzern veröffentlicht.
Selbst für Organisationen, die einen kleineren Nutzerstamm als diese großen Unternehmen bedienen, können API-Schwachstellen die Tür für verheerende Angriffe öffnen. Das Abfließen sensibler Nutzerdaten kann den Ruf der Marke und das Vertrauen der Kunden unwiderruflich schädigen, laterale Bewegungen innerhalb des Unternehmens ermöglichen oder zu hohen finanziellen Verlusten und dauerhaften rechtlichen Konsequenzen führen.
Wie hoch ist der genaue Schaden, der den Unternehmen dadurch entsteht? Nach einer Schätzung belaufen sich die Kosten der API-Sicherheit (Datenlecks aufgrund von API-Fehlern oder -Exploits) auf 41 bis 75 Mrd. USD an jährlichen Verlusten.
3 Herausforderungen beim Schutz von APIs
Im Wettlauf um die Sicherung von APIs vor diesen Angriffen stehen Unternehmen vor allem vor drei Herausforderungen:
API-Dienste sind in hybriden und Multi-Cloud-Umgebungen nur schwer zu sichern. Das durchschnittliche große Unternehmen hat Hunderte von bekannten APIs, die oft in mehreren Cloud- oder hybriden Umgebungen verwaltet werden. Diese Art der unzusammenhängenden Bereitstellung macht den Prozess der API-Sicherung und -Überwachung wesentlich komplexer und verbraucht zudem wertvolle interne Ressourcen, die für die Skalierung benötigt werden. In einem Bericht gaben 78 % der Befragten an, dass sie in ihren Netzwerken mehr als 250 verschiedene API-Token, -Schlüssel und -Zertifikate verwalten – und mit zunehmender API-Nutzung kann die Belastung durch manuelle Sicherheitsprozesse in mehreren Umgebungen zu unbeabsichtigten Versäumnissen führen.
API-Entwicklung und Sicherheit gehen nicht Hand in Hand. Programmierer und Entwickler erstellen und veröffentlichen ständig APIs, kommunizieren aber oft nicht mit der Sicherheitsabteilung, um sie zu schützen. Durch die rasante Zunahme der API-Entwicklung wird es fast unmöglich, jede Schwachstelle vor der Einführung aufzuspüren und zu patchen. Dadurch ist die Sicherheitsabteilung gezwungen, den Rückstand aufzuholen.
Traditionelle Sicherheitsdienste wurden nicht im Hinblick auf den API-Schutz entwickelt. API-Angriffe – von der Datenexfiltration bis hin zu Autorisierungs- und Authentifizierungsangriffen – hängen oft von einem tiefen, kontextbezogenen Verständnis der Funktionen und potenziellen Schwachstellen einer bestimmten API ab. Obwohl bestehende Tools (einschließlich Web Application Firewalls, Bot-Management, DDoS-Abwehr und mehr) ihre Funktionen erweitert haben, um APIs vor gängigen Angriffen zu schützen, wurden sie nicht für die spezielle Art von API-Bedrohungen entwickelt und bieten auch nicht die Art von präzisen Kontrollen, die für die Dokumentation, Analyse und Verteidigung von APIs im großen Maßstab erforderlich sind.
Wie Sie diese Herausforderungen mit WAAP lösen
Da Angreifer ihre Taktiken auf spezifische API-Sicherheitslücken zuschneiden, müssen Unternehmen ihre Bedrohungsabwehr anpassen. Dazu gehört auch ein tiefes Verständnis des API-Verhaltens und der Risiken, während Technik und Sicherheit in der Lage sind, die Abläufe zu optimieren.
Moderne API-Sicherheitslösungen fallen zunehmend unter das Dach eines Cloud-basierten Sicherheitsstapels, den Gartner „Web Application and API Protection (WAAP)“ nennt. Gängige WAAP-Lösungen umfassen die folgenden Kernfunktionen:
Eine Web Application Firewall (NGFW) der nächsten Generation, um unerwünschten Traffic zu filtern, Zero-Day-Exploits zu verhindern und Netzwerksicherheitsrichtlinien durchzusetzen.
Distributed Denial-of-Service (DDoS)-Schutz, um sowohl volumetrische als auch langanhaltende Angriffe abzuwehren.
Bot-Management zur Blockierung bösartigem Bot-Verhaltens mit einer Kombination aus Fingerprinting, Heuristik und Machine Learning.
API-Schutz, um den API-Traffic zu analysieren, zu kategorisieren und zu kontrollieren – und gleichzeitig einen robusten clientseitigen Schutz vor JavaScript-Exploits zu bieten.
Einer der primären Vorteile einer WAAP-Lösung besteht darin, dass sie Unternehmen einen besseren Einblick in und eine bessere Kontrolle über ihre APIs ermöglicht. API-Erkennungsfunktionen ermöglichen es der Sicherheitsabteilung, API-Endpunkte zu erkennen, zu katalogisieren und zu überwachen. Die API-Missbrauchserkennung nutzt fortschrittliche Anomalieerkennung, um bösartige Traffic-Muster zu verfolgen und zu analysieren und volumetrische Angriffe zu stoppen.
WAAP stärkt nicht nur die API-Verteidigung gegen komplexe und anhaltende Angriffe, sondern hilft auch dabei, APIs über mehrere Cloud-Umgebungen hinweg zu sichern. Ein zentraler API-Katalog hilft dabei, ein Grundgerüst an Unternehmens-APIs zu erstellen, von dem aus die Sicherheitsabteilung einheitliche Richtlinien anwenden kann, ohne den Überblick zu verlieren.
Ein „Leader“ im Bereich WAAP
In der jüngsten WAAP-Anbieterbewertung von Gartner wurde Cloudflare als „Leader“ für die Sicherheit von Webanwendungen und APIs eingestuft.
Mit einem globalen Netzwerk, das sich über 320 Standorte erstreckt – und durchschnittlich mehr als 45 Millionen HTTP-Anfragen pro Sekunde verarbeitet – hat Cloudflare einen einzigartigen Einblick in Netzwerkmuster, Angriffsvektoren und API-Traffic. Diese Transparenz trägt dazu bei, eine Reihe integrierter Sicherheitsdienste zu erweitern und zu stärken, einschließlich API-Ermittlungsfunktionen, API-Verwaltung und -Analysen sowie mehrschichtige API-Abwehrmechanismen, die den Traffic auf anormales Verhalten überwachen und volumetrische DDoS-Angriffe, bösartige Bot-Aktivitäten und vieles mehr abwehren.
Das WAAP-Portfolio von Cloudflare verringert für die Sicherheitsabteilung den Aufwand für die manuelle Konfiguration und Wartung. Das Cloudflare Security Center bietet Unternehmen einen zentralen Ort, um Bedrohungen in ihrer gesamten API-Landschaft zu verfolgen, zu untersuchen und abzuwehren – ohne zusätzliche Implementierungen oder Skalierungsprobleme.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Holen Sie sich den Gartner® Magic Quadrant™ for Web Application and API Protection (WAAP) und erfahren Sie, warum Cloudflare als Leader eingestuft ist!
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Warum APIs ein beliebtes Angriffsziel bleiben
Wie 53% der Unternehmen durch kompromittierte API-Tokens eine Datenschutzverletzung erlitten haben
Die 3 Herausforderungen der API-Sicherheit
Wie WAAP API-Probleme lösen kann