API-Angriffe haben in den letzten sechs Monaten um 400 % zugenommen

Jul 15, 2023

Home » Security Boulevard (Original) » API-Angriffe haben in den letzten sechs Monaten um 400 % zugenommen

Angriffe auf APIs nehmen weiterhin stark zu. Neue Erkenntnisse von Salt Labs ergaben einen schockierenden Anstieg von 400 % bei einzelnen API-Angreifern in den letzten sechs Monaten. Interessanterweise stellte der Bericht auch fest, dass fast 80 % der Angriffe über authentifizierte Endpunkte erfolgen. Gartner hatte zuvor vorhergesagt, dass APIs bald zum häufigsten Angriffsvektor werden würden, und neue Daten scheinen diese Behauptungen zu bestätigen.

Insgesamt wächst der API-Verkehr exponentiell, hauptsächlich aufgrund der Verbreitung neuer Web-APIs. Diese Endpunkte können gebaut werden, um öffentliche Plattformen verfügbar zu machen oder interne Datensätze zu öffnen, Mikrodienste zu verbinden oder digitale Partner-Ökosysteme zu betreiben. Allerdings sind nicht alle dieser Integrationspunkte von Natur aus sicher – viele weisen Schwachstellen wie eine fehlerhafte Autorisierung auf Objektebene auf. Darüber hinaus könnte die API-Ausbreitung dazu führen, dass Zombie- oder Schatten-APIs unkontrolliert bleiben. Aus diesen Gründen betrachten viele Hacker APIs als niedrig hängende Früchte.

Im Folgenden teile ich einige Erkenntnisse aus dem Bericht „State of API Security Q1 2023“ von Salt Lab. Ich habe mich auch mit Stephanie Best, Direktorin bei Salt Security, zusammengesetzt, um herauszufinden, warum sich API-Angriffe beschleunigen, und um zu überlegen, welche Best Practices Unternehmen übernehmen können, um die steigende Flut von API-bezogenen Bedrohungen einzudämmen.

Die empirischen Daten, die durch die Überwachung des Datenverkehrs des Salt Security-Kundenstamms zusammengestellt wurden, ergaben, dass eine beträchtliche Anzahl einzigartiger Angreifer Produktions-APIs angreifen. „Wir hatten nicht damit gerechnet, dass das Volumen explodieren würde“, sagte Best. Das Wachstum von APIs beschleunigt sich, erklärte sie, und daher kann es schwierig sein, dieses Wachstum sicherzustellen, geschweige denn mit einem sich ständig weiterentwickelnden Katalog Schritt zu halten.

Da Unternehmen Hunderte, wenn nicht Tausende von APIs produzieren, wird die Bewältigung der Sicherheitsauswirkungen zu einer Belastung. Infolgedessen hatten 94 % im vergangenen Jahr Sicherheitsprobleme in Produktions-APIs, wobei 17 % angaben, dass ihre Unternehmen aufgrund von Sicherheitslücken in APIs einen Datenverstoß erlitten hätten. Am meisten fürchten Sicherheitsexperten und API-Entwickler die Aussicht auf veraltete Zombie-Endpunkte, Kontoübernahmen und Denial-of-Service-Angriffe.

Zu den häufigsten API-Sicherheitsproblemen gehören Schwachstellen, Authentifizierungsprobleme, Offenlegung sensibler Daten, Brute-Force-Angriffe und andere Probleme. Und wenn wir die häufigsten Angriffstypen den OWASP API Security Top 10 zuordnen, gehören zu den größten Risiken API8:2019 Injection (29 %), API7:2019 Security Misconfiguration (23 %), API4:2019 Mangel an Ressourcen und Ratenbegrenzung ( 20 %) und API2:2019 Defekte Benutzerauthentifizierung (9 %).

Laut Best liegt der Hauptgrund für den Anstieg des Angriffsverkehrs im Volumen. Die API-Nutzung hat explosionsartig zugenommen und ist in vielen Bereichen eines Unternehmens verankert. Selbst technisch nicht versierte Unternehmen wandeln sich zu Softwareunternehmen und sind dabei im Zuge der Modernisierung ihrer Softwarearchitektur auf interne und externe Cloud-APIs angewiesen. Dennoch seien herkömmliche Sicherheitstools einfach nicht gut dafür gerüstet, Lücken in der Geschäftslogik zu erkennen, sagte Best.

Interessanterweise gehen 78 % der Angriffe von authentifizierten Benutzern aus, was darauf hindeutet, dass Angreifer häufig versuchen, sich zu authentifizieren und sich als legitime Benutzer auszugeben. Angreifer seien schlauer geworden und hätten gelernt, APIs zu manipulieren, um ihre Privilegien zu erweitern und an Informationen zu gelangen, auf die sie keinen Zugriff haben sollten, erklärte Best. Dies könnte so einfach sein wie das Auswechseln einer eindeutigen Kennung im HTTP-Aufruf, um Informationen von einem anderen Konto anzufordern. Solche Lücken in der Geschäftslogik können aufgrund kontinuierlicher Weiterentwicklung und mangelnder Sicherheitsaufsicht entstehen.

API-Angriffe könnten zu Datendiebstahl oder Kontoeskalation führen, was zu Strafgebühren und einem Reputationsverlust führen könnte. API-Sicherheitsprobleme können sich jedoch auf unterschiedliche Weise auf ein Unternehmen auswirken. Es kann nämlich die Entwicklung verlangsamen – 59 % gaben an, dass sie die Einführung neuer Anwendungen aufgrund von API-Sicherheitsbedenken verlangsamen mussten.

APIs sind im Jahr 2023 eindeutig ein großes Cybersicherheitsproblem. Welche Best Practices können Unternehmen also anwenden, um ihren API-Katalog zu schützen?

Verbessern Sie die API-Schutzschicht . Eine Methode besteht darin, die vorhandenen API-Schutztools weiterzuentwickeln. Die meisten Unternehmen verlassen sich auf traditionelle Methoden wie Web Application Firewalls (WAFs), API-Gateways und die Analyse von Protokolldateien. Dem Bericht zufolge glaubten jedoch nur 23 % der Befragten, dass ihre bestehenden Sicherheitsansätze sehr wirksam seien, um API-Angriffe zu verhindern.

Kartieren Sie Ihre Oberfläche und reduzieren Sie Schatten-APIs . Ein weiterer Grund, warum API-Angriffe weit verbreitet sind, liegt in der grundsätzlichen Unkenntnis ihrer Existenz. Das Salt-Team teilte mit, dass es bei der Erkundung einer neuen Kundenumgebung typischerweise zwischen 40 und 80 % bisher unbekannte, undokumentierte APIs findet. Mit anderen Worten: Es könnte bis zu achtmal mehr unbekannte, undokumentierte APIs als bekannte APIs in einer bestimmten Umgebung geben. Daher ist es wichtig, zunächst Ihre internen APIs zu ermitteln, um Ihre Oberfläche abzubilden.

Lassen Sie die API-Sicherheit nicht von Testdefinitionen abhängen . Wir sind davon überzeugt, dass die meisten API-Entwickler zuerst an der Spezifikation arbeiten und jede neue API dokumentieren. Doch in der Realität sind die Dinge meist weit von diesem Ideal entfernt. „Schematests sind ein großartiger Einstiegsschritt, aber sie kratzen nur an der Oberfläche dessen, was aus dieser API werden wird und wie die Leute sie manipulieren werden“, sagte Best. Bereiche wie Laufzeittests und Vertragstests haben sich als Strategien zur Validierung realen Verhaltens etabliert, möglicherweise aufgrund der Inkonsistenzen zwischen Dokumentation und Produktionsverhalten.

Die Anzahl der APIs in einem durchschnittlichen Unternehmen wächst weiter. Ganze 59 % der Befragten verwalten mittlerweile mehr als 100 APIs. Dennoch ist ihre Sicherheitslage noch immer ausgereift. Sicherheitsexperten müssen sich damit auseinandersetzen, wie sie künftige Angriffe verhindern und unbekannte Endpunkte – insbesondere solche, die sensible Daten verarbeiten – effizient erkennen können. Glücklicherweise könnten bald mehr Teams über die Ressourcen verfügen, die sie für die Umsetzung der API-Sicherheit benötigen. Aufgrund der Ernsthaftigkeit der API-Sicherheitsbedrohungen gab fast die Hälfte (48 %) der Befragten an, dass API-Sicherheit in ihrem Unternehmen zu einer Diskussion auf Führungsebene geworden sei.

Der Bericht „State of API Security Q1 2023“ von Salt Lab sammelte reale Daten seines Kundenstamms und befragte 400 Sicherheitsexperten und API-Entwickler. Um die vollständigen Einblicke zu erhalten, können Sie hier eine Kopie hinter einem E-Mail-Eingang abholen.