Studie zeigt, dass Sicherheitsteams die Auswirkungen steigender API-Bedrohungen zu spüren bekommen
Laut der API-Sicherheitsstudie 2024von Akamai nimmt der API-Missbrauch mit besorgniserregender Geschwindigkeit zu. Die Umfrage, an der mehr als 1.200 IT- und Sicherheitsexperten teilgenommen haben, ergab, dass 84 % der Befragten in den letzten 12 Monaten einen API-Sicherheitsvorfall erlebt haben. Zum Vergleich: Im vergangenen Jahr waren es 78 %. Auch die Auswirkungen auf Unternehmen werden deutlich. Dazu gehören unter anderem steigende Kosten für die Sanierung und eine ansteigende Belastung.
Angesichts zunehmender API-Vorfälle haben Unternehmen Probleme bei der Risikotransparenz
Der Anstieg der Anzahl an API-Sicherheitsvorfällen kommt nicht überraschend. Betrachten Sie es mal so: Wie die Mitarbeiter in jedem Unternehmen haben auch APIs eine Aufgabe, nämlich den schnellen Austausch von Daten zwischen digitalen Technologien. Diese Aufgabe ist wichtig: APIs ermöglichen es Kunden und Partnern, die Services zu erhalten, die sie benötigen. Aber die Aufgabe birgt auch ein großes Risiko, denn im Gegensatz zu Mitarbeitern werden APIs bei der Verarbeitung von sensiblen Daten kaum oder gar nicht überwacht.
Viele APIs existieren im Schatten, weil sie ohne das Wissen der zentralen IT-Abteilung eines Unternehmens erstellt wurden – und herkömmliche Sicherheitstools erkennen sie häufig nicht. Sicherheitsteams haben oft nicht einmal einen Einblick in die Risiken der APIs, von deren Existenz sie wissen.
Was Sie nicht sehen können, können Sie nicht schützen
Die API Security Impact Study von 2024 hat gezeigt, dass nur 27 % der Befragten, die glauben, dass sie über ein vollständiges API-Inventar verfügen, wissen, welche ihrer APIs sensible Daten zurücksenden. Im vergangenen Jahr waren es noch 40 %. Darüber hinaus gehen bei verschiedenen Rollen auch die Meinungen auseinander: Obwohl 43 % der befragten CIOs glauben, dass sie wissen, welche APIs sensible Daten zurückgeben, teilen nur 17 % der CISOs diese Ansicht.
Was Sie nicht sehen können, können Sie nicht schützen. Und dieser Mangel an Sichtbarkeit ist beunruhigend, wenn man Folgendes bedenkt:
Laut einem aktuellen „State of the Internet“-Sicherheitsbericht (SOTI) von Akamai wurden von Januar 2023 bis Juni 2024 108 Milliarden API-Angriffe registriert.
Eine einzige kompromittierte API kann bereits zu erheblichem Datendiebstahl führen, was Umsatzschäden und Geldstrafen nach sich ziehen kann.
API-Bedrohungen ziehen Auswirkungen für Unternehmen nach sich
Die Befragten aus unserer Studie – von CISOs bis AppSec-Mitarbeitern – gaben Schätzungen über die finanziellen Auswirkungen von API-Vorfällen von den Kosten für die Sanierung bis hin zu den Anwaltsgebühren ab. Unternehmen, die in den letzten 12 Monaten API-Sicherheitsvorfälle erlebt haben, bezifferten die Kosten mit durchschnittlich 591.404 US-Dollar.
Die Befragten gaben auch die ihrer Meinung nach größten Auswirkungen von API-Sicherheitsvorfällen an.
Was sagen uns diese Ergebnisse? Jeder Art des Angriffs gibt Anlass zur Besorgnis. Aber der Umgang mit einem Angriffsvektor, der so unbekannt erscheint, verursacht eine besonders große Belastung. Viele Unternehmen machen sich mit den Feinheiten von API-Risiken vertrautpräsentiert. Darüber hinaus wächst der Druck, dem Unternehmen nach einem API-Angriff ausgesetzt sind, noch beträchtlich, wenn Führungskräfte fragen: Wie konnte das passieren?
Mit wachsendem Bewusstsein für API-Angriffe, prüfen Unternehmen die Ursachen
Glücklicherweise sind die meisten Sicherheitsteams sehr engagiert und erweitern ihr Wissen über API-Angriffe. Den meisten von ihnen ist auch klar, dass häufig verwendete Tools zum Schutz von APIs nicht mehr ausreichen. Die Befragten nannten die Hauptursachen für API-Vorfälle, die sie erlebt hatten. Ihre Antworten spiegelten eine Mischung aus folgenden Faktoren wider:
Tools, die nicht dazu konzipiert sind, den Großteil der nicht verwalteten API-Bestände zu erkennen oder zu sichern, und die daher keine Vorfälle außerhalb ihrer eingeschränkten Sicht erfasst haben
- Schwachstellen, die sich unter den OWASP Top 10 API-Sicherheitsrisikenfinden, z. B. Codierungsfehler, die aus Eile entstanden sind, und fehlende Authentifizierungskontrollen
Vier Schwerpunktbereiche, die Unternehmen beim Schutz Ihrer APIs beachten sollten
Moderne API-Bedrohungen erfordern Strategien und Lösungen aus vier Schlüsselbereichen:
API-Erkennung
Kontrolle der Sicherheitslage
Laufzeitschutz
Sicherheitstests
API-Erkennung
Verbesserte Transparenz: Bringen Sie Licht ins Dunkel und identifizieren Sie insbesondere APIs, die ungeprüft auf Daten zugreifen und oft nicht verwaltet werden. Setzen Sie auf Tools, die einen automatisierten Ansatz zur Erkennung von APIsverfolgen. Analysieren Sie APIs im Bezug auf Risiken und dokumentieren Sie Ihre APIs in einem umfassenden Inventar.
Kontrolle der Sicherheitslage
Stärkere Sicherheitsstrategie: Sorgen Sie für Klarheit im Bezug auf normales und untypisches API-Verhaltenund gewinnen Sie gleichzeitig Erkenntnisse über gängige Warnungstypen, sodass Ihr Unternehmen proaktiv die Anzeichen eines Angriffs erkennen kann. Nutzen Sie diese Erkenntnisse, um Risiken zu reduzieren, Prioritäten zu setzen und die API-Sicherheitsstrategie zu stärken.
Laufzeitschutz
Überwachung und Schutz in der Laufzeit: Integrieren Sie eine umfassende API-Sicherheitslösung in einen vorhandenen Sicherheitsstack (z. B. in Web Application Firewalls oder Tools zum Schutz von Webanwendungen und APIs ), damit Nutzer die Möglichkeit haben, Verhalten mit hohem Risiko zu erkennen und verdächtigen Traffic zu blockieren, bevor er Zugriff auf kritische Ressourcen erhält.
Sicherheitstests
Frühzeitige und kontinuierliche Tests: Setzen Sie auf einen „Shift left“-Ansatz, bei dem Sicherheitstests Teil der Entwicklungsphasen einer API sind. Testen Sie, ob APIs korrekt codiert sind, um ihre beabsichtigte Funktion auszuführen, ob sie Risiken ausgesetzt sind und ob sie für gängige und neue Angriffsmethoden anfällig sind.
Abschließende Gedanken: Die Auswirkungen spüren und aktiv werden
Betrachten Sie die Daten in dieser Studie nicht als Aha-Erlebnisse oder Diskrepanzen, sondern als Ausgangspunkt für ein wichtiges Gespräch. Mit der zunehmenden Zahl an API-Sicherheitsvorfällen wird die Belastung der CISOs und ihrer Teams zunehmend spürbar. Viele Sicherheitsteams stehen beim Schutz von Unternehmen vor API-Angriffen geradezu auf dem Prüfstand, was für alle Beteiligten belastend ist.
Stellen Sie sicher, dass Ihre Teams kontinuierlich Schulungen zum Thema API-Sicherheit erhalten. Lesen Sie diesen neuen Bericht, um wichtige Einblicke zu erhalten.