Sicherung von APIs: Mission unmöglich?
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Die API-Sicherheit ist schwierig, aber mit ausreichender Schulung, Planung und einer Konzentration auf Best Practices können selbst die heimtückischsten Sicherheitslücken gemindert werden.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
%20(1).avif)
.avif)
