Mehr als nur Schwachstellen: API-Missbrauch als wichtige Herausforderung
Die strategische Bedeutung von APIs (Application Programming Interfaces, Programmierschnittstellen) nimmt immer weiter zu. Viele Unternehmen setzen daher verstärkt auf Maßnahmen für einen ausgereifteren und komplexen Schutz ihrer APIs. Ausgangspunkt dieser Maßnahmen sind in der Regel drei grundlegende Aktivitäten:
- Umsetzung von API-Erkennung zur Erstellung eines vollständigen und präzisen Bestandsverzeichnisses aller genehmigten und nicht genehmigten APIs
- Beseitigung nicht genehmigter APIs
- Identifizierung und Behebung von Schwachstellen bei Software und Implementierung, die genehmigte APIs anfällig für Angriffe machen
Alle diese Praktiken leisten einen wesentlichen Beitrag. Es gibt zudem einige äußerst hilfreiche Ressourcen, wie die OWASP-Top-10 der API-Sicherheit, die umfassende Strategien für das Auffinden und Beseitigen von API-Schwachstellen enthalten. Doch die Erkennung von APIs und die Behebung von API-Schwachstellen ist nur der Beginn einer zuverlässigen API-Sicherheitsstrategie.
Selbst wenn es Ihnen gelingt, Ihre APIs vollständig zu katalogisieren und Schwachstellen zu beseitigen, bleiben diese weiterhin extrem anfällig für eine missbräuchliche Nutzung. Und die geschäftlichen Folgen von API-Missbrauch können genauso verheerend sein wie die Ausnutzung von Schwachstellen.
Die missbräuchliche Nutzung von APIs ist ein anders gelagertes Problem
Anfangs konzentrierten sich die Bemühungen rund um formale API-Sicherheit auf den Schutz vor Angriffen, die Schwachstellen bei der Kodierung oder Konfiguration von APIs ausnutzen.
Bei API-Missbrauch handelt es sich jedoch um ein anders gelagertes Problem. Angreifer nutzen dabei keine technischen Schwachstellen aus. Stattdessen verwenden sie APIs auf eine Weise, die durch das Unternehmen, das die API erstellt hat, nicht vorgesehen ist.
Schwer zu erkennen mit verheerenden Folgen
Die Folgen von API-Missbrauch können verheerend sein. Schließlich exponieren viele Unternehmen über APIs ihre geschäftlichen Kernfunktionen und Daten. Angreifer benötigen lediglich die richtige API mit den zugehörigen Anmeldedaten, um dieses geistige Eigentum zu entwenden.
Noch komplizierter ist die Tatsache, dass API-Missbrauch sehr schwer zu erkennen ist. Da Bedrohungsakteure gültige Anmeldedaten verwenden und mit APIs auf eine Weise interagieren, die einer legitimen Nutzung ähnelt, sind viele API-Sicherheitsprodukte der ersten Generation nicht in der Lage, einen solchen Missbrauch zu erkennen.
Bei jeder API besteht das Potenzial der missbräuchlichen Verwendung
Jedes Unternehmen, das APIs bereitstellt, sollte davon ausgehen, dass es für jede API potenzielle Missbrauchsszenarien gibt. Denken Sie beispielsweise an Anwendungen und Services für Onlinebanking, Budgeterstellung und Finanzplanung, die viele von uns heute täglich nutzen. APIs sind der Schlüssel, um diese Anwendungen zur Erleichterung des Alltags zum Funktionieren zu bringen.
Cyberkriminelle mit Zugang zu Anmeldedaten können die über diese APIs zugängliche Geschäftslogik und die Daten leicht nutzen, um mit diesem geistigen Eigentum gegen die geschäftlichen Interessen des Finanzinstituts und die persönlichen Interessen des Kontoinhabers zu agieren.
Schutz vor der zunehmenden Bedrohung durch API-Missbrauch
Lassen Sie API-Schwachstellen nicht aus dem Auge. Nach wie vor kommt es darauf an, eine Grundlage für API-Sicherheit zu schaffen, die Erkennung, Bewertung und Behebung von Schwachstellen umfasst.
Die Erweiterung Ihrer API-Sicherheit auf das gesamte Spektrum von API-Bedrohungen, einschließlich API-Missbrauch, erfordert jedoch drei weitere wichtige Strategien:
- Erweiterung Ihrer Überlegungen zu API-Angriffen
- Umfassendere Analyse von Daten über APIs
- Nutzung von APIs zur Erkennung von Missbrauch
Erweiterung Ihrer Definition von API-Angriffen
Die OWASP-Top-10 der API-Sicherheit sind ein guter Ausgangspunkt, um API-Schwachstellen zu finden und zu beseitigen. Aber sie helfen nicht dabei, API-Missbrauch zu verstehen. Solange keine branchenspezifischen Frameworks für API-Missbrauch entstehen, ist es für Ihr Team wichtig, sich ausführlichere Gedanken über das Wesen von API-Angriffen zu machen.
Umfassendere Analyse von Daten über APIs und Aktivitäten
Andere API-Sicherheitslösungen konzentrieren sich auf die Überwachung einzelner API-Aufrufe oder bestenfalls auf kurzfristige Sitzungsaktivitäten. Das Problem besteht darin, dass API-Missbrauch nicht nur den Anschein einer legitimen Aktivität hat, sondern sich auch über Minuten, Stunden oder Tage hinweg entfalten kann. Die Anwendung eines Ansatzes, der auf Software as a Service (SaaS) basiert, ist die einzige Möglichkeit, Datensätze zu erfassen und zu analysieren, die ausreichend groß sind, um die API-Nutzung im Kontext wirklich zu verstehen und über einen längeren Zeitraum erfolgenden API-Missbrauch und Abweichungen vom normalen Verhalten zu erkennen.
Nutzung von APIs zur Erkennung von Missbrauch
Die Geschwindigkeit und das Volumen von API-Aktivitäten sind so groß, dass diese nicht aktiv von Menschen überwacht und erfasst werden können. Gleichzeitig sind viele herkömmliche API-Sicherheitstechniken nicht geeignet, die geschäftlichen Auswirkungen der von ihnen beobachteten Zusammenhänge zu verstehen.
Dies ist eine ausgezeichnete Anwendung für maschinelles Lernen und künstliche Intelligenz (KI). Angenommen, Sie folgen den Ratschlägen in diesem Blogbeitrag und wechseln zu SaaS: Neben dem Mehr an Daten, dass Ihnen für Analysezwecke zur Verfügung steht, erhalten Sie Zugriff auf die erforderliche Rechenleistung zur Durchführung von Big-Data-Analysen.
Die Zukunft lässt sich ebenso wenig vorhersagen, wie zukünftige Innovationen, mit denen Cyberkriminelle versuchen werden, APIs zu missbrauchen. Mithilfe von KI können wir jedoch grundlegende Verhaltensweisen bestimmen, verstehen, welche Geschäftseinheiten beteiligt sind, und Anomalien erkennen, die Indizien für möglichen Missbrauch sind.
Ausgeklügelte Kontrollmechanismen für aktuelle Risiken
Selbst perfekte APIs können missbraucht werden. Um API-Sicherheitsrisiken zu erkennen und abzuwehren, sind ausgereifte Sicherheitskontrollen erforderlich, die der komplexen und sich schnell entwickelnden Bedrohungslandschaft gewachsen sind. Testen Sie die Lösung API Security von Akamai zur Verbesserung der Sicherheit für Ihre APIs.
