So verringern Sie die API-Ausbreitung mit API-Erkennung
Wenn Sie ein Sicherheitsexperte sind, dann sind Sie wahrscheinlich mit dem Konzept der Ausbreitung vertraut. Immer wenn die Verbreitung eines vermeintlichen Angriffsvektors außer Kontrolle gerät, haben Sie es mit einem Ausbreitungsgeschehen zu tun, das unter anderem Berechtigungen oder Passwörter betreffen kann.
Es ist wie in dem Film „Gremlins“ aus den 1980ern. Zuerst ist da nur ein niedlicher kleiner Knuddel, doch bald schon sieht man sich umgeben von zahlreichen problematischen Kreaturen, die herumkreischen und Sachen kaputt machen.
Filmanalogien beiseite: Es gibt eine Art von Ausbreitung, das vielen Unternehmen nicht vertraut ist, das sich aber zu einem beliebten Angriffsvektor entwickelt: API-Ausbreitung.
Die Kontrolle über Gremlins (oder API-Ausbreitung) gewinnen
Für jede Anwendung, die Sie erstellen, jede Workload, den Sie in die Cloud migrieren, und jedes Tool, das Ihre Mitarbeiter zur Zusammenarbeit verwenden, gibt es APIs, die im Hintergrund Daten austauschen. Und das Innovationstempo führt dazu, dass Ihre APIs voll in den Gremlin-Modus wechseln.
Die Ausbreitung von APIs ist ein häufiges Problem für Unternehmen, die über mehrere Entwicklungsteams und eine breite Palette von Anwendungen und Services verfügen. Je mehr Innovation gefordert wird, desto mehr APIs werden erstellt. Es wird dann immer schwieriger, sie im Blick zu behalten und zu verfolgen, wie sie verwendet werden und welche Arten von Daten sie zurückgeben, wenn sie aufgerufen werden.
Die Ausbreitung von APIs kann zu Ineffizienzen in der Entwicklung, erhöhten Kosten, Performance-Problemen und Ressourcenverschwendung führen. Sie kann auch Verwirrung stiften, was den Zweck und die Nutzung bestimmter APIs betrifft. Dadurch wird es für Entwickler schwierig, APIs für ihre Bedürfnisse zu finden oder zu verstehen, wie die APIs miteinander interagieren. Da Unternehmen zunehmend von APIs abhängig sind, ist es wichtig, zu verstehen, wie die Ausbreitung von APIs sich vollzieht und wie sie verhindert oder effektiv verwaltet werden kann.
In diesem Blogbeitrag erklären wir, wie API-Ausbreitung passiert und was Unternehmen tun können, um ihn zu verhindern. Wenn Sie die entsprechenden Strategien kennen, können Sie Ihre APIs besser verwalten und sicherstellen, dass Ihre Anwendungen auf Jahre hinaus effizient und wartungsfähig bleiben.
Wie es zu einer Ausbreitung von APIs kommt
Zur Ausbreitung von APIs kann es aus verschiedenen Gründen kommen, zum Beispiel schlechte API-Verwaltung, fehlende Governance, fehlende Einblicke in die vorhandenen APIs und unzureichende Dokumentation. Ohne angemessene Governance und Transparenz wird es für Unternehmen immer schwerer, alle APIs zu nutzen und angemessen zu verwalten.
Auch die Abwanderung von Mitarbeitern trägt dazu bei, dass es inaktive, Schatten- und Zombie-APIs gibt. Wenn man sieht, wie schnell Entwickler kommen und gehen, stellt sich die Frage: Wie wahrscheinlich ist es, dass sie die Zeit haben, ihr Wissen weiterzugeben oder Projekte vor ihrem letzten Arbeitstag abzuschließen? Auch Entwickler mit den besten Absichten können bei der Übergabe Dinge übersehen.
Darüber hinaus vergisst man häufig APIs, die im Zuge einer Fusion oder Übernahme „geerbt“ werden. Bei der anspruchsvollen und komplizierten Aufgabe der Systemintegration gehen manchmal Bestandsübersichten verloren (sofern es überhaupt welche gab). Wenn die APIs des erworbenen Unternehmens schlecht dokumentiert sind, kann das übernehmende Unternehmen erheblichen Risiken ausgesetzt sein, etwa dem Risiko des Unbekannten.
Oft bleibt die ältere Version einer API mitsamt schlechterer Sicherheitseigenschaften oder bekannter Schwachstellen intakt. Während der Aktualisierung der Software muss möglicherweise für eine gewisse Zeit eine ältere Version mit einer neueren koexistieren. In der Zwischenzeit kann es passieren, dass die mit der korrekten Versionierung und Deaktivierung der API beauftragte Person das Unternehmen verlässt, mit anderen Aufgaben betraut wird oder schlicht vergisst, die vorherige Version zu entfernen.
Folgen der API-Ausbreitung
Was den Sicherheitsaspekt betrifft, bietet die Ausbreitung von APIs Cyberkriminellen mehr Möglichkeiten, Schwachstellen auszunutzen, sofern die APIs eines Unternehmens nicht angemessen gesichert und konfiguriert sind. Wenn sich APIs unkontrolliert verbreiten, verlieren Unternehmen den Überblick darüber, wie Anwendungen, Systeme und sensible Daten oder andere Ressourcen miteinander verbunden sind. Das erschwert fundierte Entscheidungen in Bezug auf technische Architektur und Infrastruktur. Es ist nahezu unmöglich, die API-Nutzung zu überwachen, wenn es keine präzise Übersicht über die Zahl der APIs gibt.
Und was Sie nicht sehen, können Sie auch nicht überwachen.
Was die geschäftlichen Auswirkungen angeht, kann die Ausbreitung von APIs zu Performance-Einbußen führen. Durch das Hinzufügen und Verwalten einer größeren Anzahl von APIs wird das API-Management komplexer, was zu langsameren Antwortzeiten und höherer Latenz bei Anfragen führt. Darüber hinaus kann die Ausbreitung von APIs die Kosten erhöhen, da Unternehmen mehr Ressourcen in die Verwaltung investieren müssen.
Was ist API-Erkennung und wie verringert sie die Ausbreitung von APIs?
Unter API-Erkennung versteht man einen Prozess und eine Reihe von Funktionen, mit denen Unternehmen APIs identifizieren, katalogisieren und verwalten und ihre API-bezogenen Risiken beurteilen können. Eine richtig angewendete API-Erkennung kann dazu beitragen, die API-Ausbreitung einzudämmen und die Sicherheitslage zu verbessern.
API-Erkennung hilft Unternehmen auch dabei, ihre aktuelle API-Landschaft besser zu verstehen und fundierte Entscheidungen mit Blick auf zukünftige Entwicklungen zu treffen. Darüber hinaus erleichtert API-Erkennung die Überwachung und Kontrolle des Zugriffs auf die APIs. So wird sichergestellt, dass nur autorisierte Nutzer auf die APIs zugreifen können.
Warum manuelle API-Erkennung keine Option ist
Werden API-Audits manuell durchgeführt, kann es bis zu 40 Stunden pro API dauern, alle erforderlichen Eingaben genau zu dokumentieren. Außerdem kann es viel mehr Zeit in Anspruch nehmen, das Vorkommen zu untersuchen, den Schaden zu beurteilen, Korrekturmaßnahmen zu ergreifen und nach der Ursache zu suchen.
Sicherheitsteams mit knappen Ressourcen können die Vorteile automatisierter Verfahren nutzen, um jede in Gebrauch befindliche API zu ermitteln und die API-Umgebung zu schützen. Es ist wichtig, alle APIs in Ihren verschiedenen digitalen Aktivitätsbereichen zu finden und zu inventarisieren, einschließlich APIs und API-Domains, die nicht von einem API-Gateway gesteuert werden.
Wie Akamai Sie bei der Bekämpfung der Ausbreitung in Ihrem API-Bestand unterstützen kann
Bevor wir zum Ende dieses Blogbeitrags kommen, wollen wir kurz innehalten und uns umschauen: Haben sich Ihre API-Gremlins während der Lektüre noch weiter ausgebreitet?
Die Ausbreitung von APIs kann ziemlich ausufern. Sie sollten sich lieber fragen: Möchten Sie die Fähigkeiten Ihres Unternehmens im Bereich API-Erkennung verbessern? Wenn die Antwort „Ja“ lautet, würden wir Sie gerne dabei unterstützen.
Akamai API Security wurde entwickelt, um die Inventarisierung all Ihrer APIs zu erleichtern, einschließlich schwer zu erfassender Shadow-APIs. Im Folgenden sind einige Funktionen aufgeführt, mit denen Sie Risiken minimieren und das Vertrauen in Ihren API-Bestand stärken können:
Unser Erkennungsmodul ermöglicht es Sicherheitsteams, durch ein optimiertes Nutzererlebnis umfassende Erkenntnisse aus zahlreichen Datenquellen in On-Premise- und Cloud-Umgebungen zu erhalten.
Akamai API Security kann auf Hunderte oder Tausende von Infrastrukturkomponenten skaliert werden und Load Balancer, API-Gateways und Web Application Firewalls überwachen. Die Lösung unterstützt Sie bei der Identifizierung und Katalogisierung aller API-Typen, einschließlich HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC und gRPC.
Unsere Funktionen zur Datenklassifizierung überwachen den API-Traffic und bieten einen Einblick in die Art der Daten, die Ihre APIs durchlaufen. So können Sie schnell sehen, wie viele APIs auf Kreditkartendaten, Telefonnummern, Sozialversicherungsnummern und andere sensible Daten zugreifen können.