Die Einführung umfassender API-Sicherheit fällt hinter den Anforderungen zurück
Laut einer aktuellen Studie des SANS Institutenutzen die meisten Unternehmen noch keine API-spezifischen Kontrollen, die eine breite Abdeckung bieten, obwohl die Anzahl der Bedrohungen, die auf Anwendungen und APIs abzielen, zunimmt.
Ein deutlicher Mangel an Tools für API-Sicherheitstests
Die SANS-Umfrage 2023 zur API-Sicherheit ergab, dass weniger als 50 % der Befragten über Tools zum Testen der API-Sicherheit verfügen. Noch weniger verfügen über API-Erkennungstools (29 %). Darüber hinaus heißt es in dem Bericht, dass die API-Sicherheitskontrollen, die in DDoS-AbwehrservicesundServices zum Lastausgleich enthalten sind, nur wenig genutzt werden: Nur 29 % der Befragten gaben an, diese Funktionen zu verwenden.
Angesichts der Zunahme von Angriffen ist dies ein besorgniserregender Trend. Wie Akamai kürzlich in seinem „State of the Internet“-Bericht „Ausnutzung von Sicherheitslücken: Die Zunahme von Angriffen auf Anwendungen und APIs“ zeigt, war das Jahr 2022 ein Rekordjahr für Anwendungs- und API-Angriffe. Vielleicht überrascht es jedoch nicht, dass API-Tools mit umfassender Abdeckung nicht eingesetzt werden, wenn man bedenkt, was die Teilnehmer der SANS-Umfrage als die größten Sicherheitsrisiken für ihre Unternehmen bezeichnen.
Der im Juli 2023 veröffentlichte Bericht umfasste 231 Befragte, die meisten aus den USA. 78 % der Befragten spielen derzeit eine Rolle bei der Anwendungssicherheit, weitere 15 % planen eine künftige Beteiligung.
API-Risiken werden nicht priorisiert
Auf die Frage, welche die drei größten Risiken für ihr Unternehmen sind, gaben die Befragten am häufigsten „Phishing zur Erlangung wiederverwendbarer Anmeldedaten“, gefolgt von „Angreifer, die fehlende Patches ausnutzen“ und „Angreifer, die anfällige Anwendungen/APIs ausnutzen“ an. Zuletzt in der gewichteten Rangliste kamen „falsch konfigurierte Server/Dienste“. Es liegt auf der Hand, dass die Unternehmen zwar die Risiken verstehen, die APIs darstellen können, dass sie aber Investitionen in diesen Bereichen nicht priorisieren.
Mehrere Sicherheitskontrollen und -prozesse
„Die Erkennung, Bewertung und Minderung von API-Risiken ist ein komplexes Problem, das mehrere Sicherheitskontrollen und -prozesse erfordert, um eine vollständige Abdeckung zu gewährleisten“, schreibt John Pescatore, Director of Emerging Security Trends beim SANS Institute. „Tools auf Anwendungsebene, die bereits weit verbreitet sind, können eine teilweise Abdeckung bieten, sicherheitsspezifische API-Kontrollen, die eine vollständige Abdeckung bieten, werden jedoch noch nicht so häufig genutzt.“
Verstehen, wie (und wie viele) APIs ausgeführt werden
Der SANS-Bericht lässt auch vermuten, dass Unternehmen nur schlecht verstehen, wie viele APIs in ihren Umgebungen ausgeführt werden. Mehr als zwei Drittel der Befragten gaben an, dass die Genauigkeit ihrer Bestandsaufnahme an APIs, die in der Produktion ausgeführt werden, unter 75 % lag.
Unternehmen haben seit Jahren Schwierigkeiten, ein genaues Inventar ihrer Ressourcen zu erstellen, einschließlich Netzwerken, Computern und Anwendungen. Sie müssen sich genauer darüber im Klaren sein, wo (und wie viele) APIs ausgeführt werden. Im Bericht heißt es: „... da anfällige APIs zum häufigsten Zugriffspunkt für Angriffe werden, sollte die Genauigkeit des API-Inventars erhöht und die API-Erkennung häufiger durchgeführt werden.“
Käufer suchen in verschiedenen Richtungen nach API-Sicherheit
Es bestand wenig Einigkeit über die Anschaffung neuer Tools, um einige dieser API-Sicherheitslücken zu schließen. Bei der Frage nach den Lösungen, die Unternehmen in den nächsten zwei Jahren einsetzen wollen, die sie derzeit nicht nutzen, enthielten die Antworten eine Vielzahl von Optionen:
- Secure Web Gateways (14 %)
- Dynamische Tests auf Anwendungsschwachstellen (13 %)
- Web Application Firewalls (13 %)
- Anwendungs-/API-Sicherheitsfunktionen in Content Delivery Networks (13 %)
- API-Sicherheitstests (12 %)
- API-Erkennung (10 %)
Da Käufer so viele verschiedene Lösungen für Anwendungs- und API-Sicherheit suchen, werden Anbieter wie Akamai, die umfassende Lösungen anbieten können, deutlich attraktiver. Unternehmen sehen erhebliche Vorteile, wenn sie Zugriff auf Bot Management, Web Application Firewalls und andere Anforderungen von einem Anbieter erhalten, der auch starke Services anbietet, die mehrere Disziplinen abdecken.
Erweiterte Erkennungs- und Reaktionstechnologie
Darüber hinaus können neue Technologien, die erweiterte Erkennungs- und Reaktionsmöglichkeiten nutzen (XDR), Einblick in alle API-Aktivitäten bieten, das Risikopotenzial bestimmen und normales und missbräuchliches Verhalten verstehen und so erhebliche Vorteile beim API-Schutz liefern.
Die kürzlich erfolgte Übernahme von Neosec durch Akamai folgt diesem Trend. Unternehmen können nun noch nie dagewesene API-Verhaltensanalysen nutzen, indem sie die Analyse von (mindestens) 30 Tagen API-Aktivität mit der vom Akamai Content Delivery Network bereitgestellten Transparenz kombinieren.
Die Ergebnisse der SANS-Umfrage bieten auch interessante Perspektiven auf die Veröffentlichung der neuen OWASP Top 10 API-Sicherheitsrisiken, die um mehrere neue Risiken erweitert wurden, darunter uneingeschränkte Ressourcennutzung und unsichere Nutzung von APIs.
Einstimmigkeit bei den Frameworks
Apropos OWASP: Die Umfrage deutete auf eine gewisse Übereinstimmung hinsichtlich der Frameworks hin, die Sicherheitsexperten für nützlich halten. Mehr als die Hälfte der Befragten nannte die OWASP Top 10 Sicherheitsrisiken für Webanwendungen (55 %), das MITRE ATT&CK Framework (55 %) und die OWASP Top 10 API-Sicherheitsrisiken (52 %) als Methoden zur Definition von Anwendungs- und API-Risiken. Die Cloud Security Alliance (40 %) und das Center for Internet Security Critical Security Controls (33 %) schließen die fünf besten Plätze ab.
Sicherheitsschulungen für Entwickler haben weiterhin Priorität
Der Bericht stellte außerdem fest, dass sich Unternehmen im Allgemeinen weiterhin darauf konzentrieren, Entwicklern Sicherheitsschulungen anzubieten: Mehr als 75 % der Unternehmen gaben an, dass sie Sicherheitsschulungen für ihre Entwickler anbieten. Andererseits ergab der Bericht auch, dass über 70 % der Befragten angaben, mindestens 25 % ihres Sicherheitsteams Schulungen zur Anwendungssicherheit angeboten zu haben.
Transparenz und Verteidigung
Akamai App & API Protector ist eine umfassende Anwendungs- und API-Lösung für den Schutz von Webanwendungen und Firewalls, Bot Management, API-Sicherheit und DDoS-Schutz, die Unternehmen umfassende Einblicke in die Bedrohungen in ihrer eigenen Umgebung sowie starke Verteidigung bietet. Sie identifiziert schnell Schwachstellen und mindert Bedrohungen über die gesamte Web- und API-Umgebung hinweg – selbst in komplexesten verteilten Architekturen.
