Anzeige

API

Immer mehr Unternehmen nutzen APIs (Application Programming Interfaces) für digitale Geschäftsprozesse. Dies haben auch Hacker erkannt. Sie suchen vor allem nach übermäßigen Berechtigungen der APIs, die grundsätzlich Einblick in alle Bereiche innerhalb der Anwendungsinfrastruktur gewähren. 

Dabei reichen ihnen sogar übliche Angriffsmethoden wie Injection, Brute Force, Parameter-Manipulation und Session Snooping. Auf der it-sa 2019 erfahren Unternehmen, wie sie ihre APIs schützen können.

Eine API ist sozusagen eine Benutzeroberfläche für andere Anwendungen statt für Menschen. Sie wird häufig mit API-Gateways verwaltet, die auf einem Anwendungsserver laufen. Die Verbreitung dieser Programmierschnittstellen hat in den letzten Jahren deutlich zugenommen, laut programmableweb.com von 12.000 im Jahr 2015 auf fast 22.000 Anfang 2019.

Falsch konfigurierte Zugangskontrollen

Gemäß dem Application Protection Report 2019 von F5 Labs zielten alle bis November 2018 erkannten API-bezogenen Vorfälle auf große Plattformen mit einer hohen Anzahl an APIs, wobei mobile Apps stark von einigen davon abhängig waren. Sämtliche seitdem entdeckten Vorfälle resultierten aus falsch konfigurierten Zugriffskontrollen. Mit anderen Worten: Die Unternehmen wussten nicht, dass ihre API offen war.

Eine Studie der North Carolina State University ermittelte, dass mehr als 100.000 Code-Repositories auf GitHub im Klartext gespeicherte API-Token und kryptografische Schlüssel enthalten – die idealen Werkzeuge für die API-Zugriffskontrolle. Tatsächlich nutzen immer mehr Entwickler Workarounds oder unsichere Prozesse und beheben dadurch entstehende Probleme nicht, wenn das Projekt in Betrieb geht.

Tipps für sichere APIs

Um den Cyberkriminellen einen Schritt voraus zu sein, empfiehlt der Application Protection Report folgende Maßnahmen:

  • Inventarisieren. Unternehmen sollten wissen, wo sich ihre APIs befinden und wie diese zu Geschäftsprozessen beitragen. Anhand der Informationen aus Perimeter-Scans – um die „Hacker-Perspektive“ zu erhalten – und ausführlichen Interviews mit Entwicklungs- und Betriebsteams sind entsprechende Risikobewertungen zu erstellen.
     
  • Authentifizieren. Der State of Application Services Report 2019 von F5 ergab, dass jedes vierte Unternehmen keine API-Authentifizierung verwendet. Das ist ein großes Problem. Die genutzten Anmeldeinformationen müssen auf sichere Weise gespeichert werden, sei es in Form von Benutzer/Passwort-Kombinationen oder API-Schlüsseln.
     
  • Autorisieren. Keine API sollte ungeprüfte oder nicht validierte Eingaben an Anwendungen weitergeben. API-Anmeldeinformationen sind nach dem Prinzip der geringsten Berechtigung zu vergeben. Rollenbasierte Zugriffskontrolle sollte zumindest HTTP-Methoden einschränken, die von bestimmten Rollen implementiert werden können. Zudem lassen sich Abfolgen von Aktionen definieren, die dem spezifischen API-Anwendungsfall entsprechen.
     
  • Protokollieren. Alle API-Verbindungen sind zu protokollieren und zu prüfen, unabhängig von Ergebnis und Verhalten. Außerdem sollten die von den APIs bereitgestellten Ressourcen überwacht werden.
     
  • Verschlüsseln. Unternehmen sollten nicht nur den gesamten Web-Traffic und ihre Services verschlüsseln, sondern auch APIs und Verbindungen – sowie die Zertifikate validieren.
     
  • Sicherheitstools nutzen. Mit einem „API-fähigen“ Proxy oder einer Firewall lassen sich Anfragen prüfen, validieren und unterdrücken. Einige API-Sicherheitsdienste können den ursprünglichen Client analysieren und feststellen, ob eine Anfrage legitim oder bösartig ist. Sie können auch sicherstellen, dass API-Anfragen dort bleiben, wo sie hingehören.
     
  • Testen. Ständige Tests sind erforderlich, um auf dem neuesten Stand zu bleiben. Es empfiehlt sich auch, eine Prämie auf die Entdeckung von API-Schwachstellen bereitzustellen und die Erkenntnisse von Sicherheitsforschern zu nutzen.

Wie Unternehmen ihre APIs ausreichend vor aktuellen Gefahren schützen können, erfahren sie von F5 auf der it-sa, die vom 8. bis 10. Oktober 2019 in Nürnberg stattfindet. F5 ist in Halle 10.0. am Stand 220 der Westcon Group Germany GmbH vertreten.

Ralf Sydekum, Technical Manager DACH
Ralf Sydekum
Technical Manager DACH, F5 Networks

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

eBook API-Management
Jan 31, 2019

API-Management

Das neue API-Management stellt für Unternehmen einen attraktiven Weg dar, neue…

Weitere Artikel

RemoteWork Sicherheit

In drei Schritten zu mehr Netzwerksicherheit im Remote-Umfeld

Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!