Tipps für moderne API-Sicherheit
Viele Sicherheitsexperten sehen sich in Bezug auf die API-Sicherheit mit vielen Problemen konfrontiert. Obwohl APIs nicht neu sind, haben sie in den letzten Jahren aufgrund der folgenden Faktoren eine viel größere strategische Bedeutung erlangt:
Nutzer interagieren mit Anwendungen über immer vielfältigere Nutzeroberflächen und Geräte. Dies ist oft durch eine gemeinsame Gruppe von APIs möglich.
DevOps-Praktiken und andere sich schnell entwickelnde Geschäftsprozesse sind auf APIs angewiesen, um die Automatisierung voranzutreiben.
API-Integrationen zwischen Geschäftspartnern sind die einzige Möglichkeit, die Erwartungen der Kunden an ein schnelles und nahtloses Online-Erlebnis zu erfüllen.
Branchenentwicklungen wie das Internet der Dinge (IoT) erhöhen die Anzahl der vernetzten Geräte um ein Vielfaches, die Unternehmen programmgesteuert über APIs verwalten müssen.
APIs: Ein strategischer Faktor und ein wichtiger Schwachpunkt
Diese Entwicklungen in der Branche haben sich über viele Jahre hinweg deutlich sichtbar vollzogen. Viele Sicherheitsexperten setzen sich jedoch erst jetzt mit der Tatsache auseinander, dass APIs sowohl ein strategischer Faktor als auch ein wichtiger Schwachpunkt für nahezu alle wichtigen Geschäftsfunktionen sind.
Es ist ein wichtiger erster Schritt, die Notwendigkeit eines strategischen Ansatzes für die API-Sicherheit zu erkennen. Der Weg dorthin kann sich allerdings wie eine komplexe Reise anfühlen. APIs sind ein bewegliches Ziel. Sie erscheinen und verschwinden ständig. API-Governance-Prozesse sind oft inkonsistent – sofern überhaupt vorhanden.
API-Bedrohungen im Vergleich zu herkömmlichen Sicherheitsbedrohungen
API-Bedrohungen unterscheiden sich auch deutlich von herkömmlichen Sicherheitsbedrohungen. Technische Schwachstellen und Fehlkonfigurationen, wie sie in den zehn größten API-Schwachstellen laut OWASPaufgeführt sind, haben Ähnlichkeit mit Angriffsvektoren, die Sicherheitsteams regelmäßig bekämpfen. APIs unterliegen aber auch anderen Arten von Exploits und Missbrauch von Geschäftslogik: z. B aggressives Daten-Scraping, das einem herkömmlichen Sicherheitsangriff nur bedingt ähnelt.
Sich der API-Sicherheit strategisch zu nähern ist nicht unbedingt einfach, aber es ist möglich.
Wir haben dazu folgenden Leitfaden erstellt: 8 Tipps für Ihre API-Sicherheit Darin werden einige der Erkenntnisse und Best Practices aus unserer Forschung und unseren Projekten mit einigen der weltweit anspruchsvollsten Unternehmen, die auf APIs setzen, zusammengefasst. Er beinhaltet wichtige Strategien, die umgesetzt werden sollten – und Stolpersteine, die es zu vermeiden gilt –, wenn Sie eine ausgefeiltere API-Sicherheitsstrategie für Ihr Unternehmen entwickeln.
