Die Finanzindustrie und Streaming-Dienste besonders häufig von Attacken auf Application Programming Interfaces (APIs) betroffen. Das hat eine Untersuchung der Sicherheit von Programmierschnittstellen in Unternehmen durch Imperva ergeben.
Programmierschnittstellen verarbeiten und übertragen häufig wertvolle Daten, einschließlich personenbezogener und geschäftskritischer Informationen sowie Finanzdaten, weshalb sie im Visier der Cyber-Kriminellen sind. Schnittstellen spielen eine zentrale Rolle bei der Kommunikation zwischen verschiedenen Anwendungen und generieren inzwischen 71 Prozent des gesamten Webtraffics.
Das Finanzwesen ist die Branche mit dem meisten Datenaufkommen im Zusammenhang mit APIs. Auf den Plätzen zwei und drei folgen der E-Commerce-Sektor und Entertainment wie Streaming- und Nachrichtendienste. Auch in den Bereichen, die am häufigsten Ziel von API-Angriffen sind, ist die Finanzindustrie mit 20 Prozent auf Rang eins – gefolgt von Consulting-Firmen (16,9 Prozent) sowie die Reisebranche (11,2 Prozent).
So gehen Angreifer vor
Die wichtigste Angriffskategorie ist der Missbrauch der Geschäftslogik von Schnittstellen, auf die über 27 Prozent aller durch Imperva entschärften API-Angriffe entfallen. Es folgen automatisierte Angriffe (19,3 Prozent), RCE/RFI (12,4 Prozent) und Datenlecks (10 Prozent). Ein Missbrauch der API-Geschäftslogik liegt vor, wenn Kriminelle beispielsweise durch Bots die vorgesehene Funktionalität einer API für böswillige Zwecke auszunutzen, etwa für die Unterbrechung einer unternehmenskritischen Anwendung.
Mit automatisierten Angriffen durchsuchen Cyber-Kriminelle APIs systematisch nach Schwachstellen und Fehlkonfigurationen. Remote-Code-Execution- (RCE) und Remote-File-Inclusion-Angriffe (RFI) wiederum ermöglichen es Angreifern, Authentifizierungs- und Autorisierungsmechanismen zu umgehen, wodurch sie unbefugten Zugriff auf sensible Informationen innerhalb der API erhalten. Schließlich sind Datenlecks und ungesicherte APIs (10 Prozent) ein willkommenes Einfallstor für Hacker, um sensible Informationen zu bekommen.
Überblick über sämtliche APIs essenziell
Oft wissen Unternehmen nicht, wie viele APIs sie insgesamt haben. Laut Report sind es durchschnittlich 613 pro Organisation. Das mangelnde Wissen erschwert einen umfassenden Schutz. Unter Sicherheitsaspekten problematisch sind vor allem die Schatten-APIs: Dabei handelt es sich um Schnittstellen, die die IT-Verantwortlichen nicht auf dem Radar haben. Sie sind in der Regel von alten Softwareversionen übriggeblieben oder dienten in der Vergangenheit einem bestimmten Zweck, haben aber keinen praktischen Nutzen mehr. Nur wenn Unternehmen einen Überblick über diese APIs haben, können sie sie auch schützen.
Veraltete APIs sind ebenfalls ein Sicherheitsrisiko, da sie sich nicht aktualisieren und patchen lassen. Schließlich gibt es noch sogenannte nicht authentifizierte Schnittstellen. Sie unterstützen Entwickler zwar vorübergehend bei der Arbeit, sind aber nicht ausreichend gesichert. Imperva identifizierte im API-Report durchschnittlich 29 Schatten APIs, 16 veraltete Schnittstellen und 21 nicht authentifizierte APIs pro Unternehmen.
Die wichtigsten Abwehrmechanismen
Der Webtraffic im Zusammenhang mit APIs ist für 71 Prozent des gesamten Datenverkehrs im Internet verantwortlich. Die Angriffsfläche für Hacker ist entsprechend groß. Herkömmliche Strategien mit Web-Application-Firewalls (WAF) reichen heutzutage nicht mehr aus. Eine Firewall ist beispielsweise nicht in der Lage, zwischen bösartigen API-Aufrufen und legitimem API-Traffic zu unterscheiden.
Unternehmen müssen deshalb Maßnahmen implementieren, um ausreichende Autorisierungsmechanismen einzurichten sowie Eingaben zu validieren, um APIs gegen Angriffe zu schützen. Dafür bildet eine WAF in Kombination mit einem Bot- und DDoS (Distributed Denial of Service)-Schutz ein wirksames Abwehrtrio. Folgender Plan unterstützt Unternehmen auf dem Weg zu einem hohen Sicherheitsniveau:
- Erkennung und Klassifikation sämtlicher APIs, Endpunkte und Parameter: Alle APIs müssen erfasst und mit modernen Sicherheitsmethoden geschützt sein.
- Identifikation und Schutz sensibler und risikoreicher APIs: Unternehmen sollten Risikobewertungen speziell für API-Endpunkte vornehmen, die anfällig für eine fehlerhafte Autorisierung und Authentifizierung sowie eine übermäßige Datenexposition sind.
- Einrichtung eines robusten Überwachungssystems für API-Endpunkte zur aktiven Erkennung und Analyse verdächtiger Aktivitäten und Zugriffsmuster.
- Implementierung eines umfassenden API-Sicherheitsansatzes, der WAFs, API-Schutz, DDoS-Schutz und Bot-Schutz integriert. Sind die Abwehrmaßnahmen zudem auf dem aktuellen Stand der Technik, verfügen Unternehmen über die nötige Flexibilität und einen sicheren Schutz vor immer raffinierteren API-Angriffen.
Der Imperva State of API Security Report basiert auf Daten, die weltweit durch den Einsatz von Imperva-Software entstanden sind. Diese werden durch weitere von Imperva erhobene Forschungsdaten komplettiert. Der Studienbericht analysiert die Herausforderungen beim Schutz von Schnittstellen, beleuchtet die Strategien der Hacker und gibt Unternehmen Hinweise zur Gefahrenabwehr. (rhh)
