Mehr als 30 % der böswilligen Angriffe zielen auf Shadow-APIs ab

4th Oktober 2022

Mehr als 30 % aller böswilligen Angriffe zielen auf Shadow-APIs ab

Neue Forschungsschwerpunkte, wie Angreifer von API-gesteuerten Innovationen profitieren

LONDON, VEREINIGTES KÖNIGREICH. – 4. Oktober 2022 – Cequence Security, der führende Anbieter von Unified API Protection, hat heute seinen Bericht für das erste Halbjahr 2022 mit dem Titel „API Protection Report: Shadow APIs and API Abuse Explode“ veröffentlicht. Das wichtigste Ergebnis waren ungefähr 5 Milliarden (31 %) böswillige Transaktionen, die auf unbekannte, nicht verwaltete und ungeschützte APIs abzielten, die gemeinhin als Schatten-APIs bezeichnet werden, was dies zur größten Bedrohung für die Branche macht. 

„Die Realität ist der alltägliche Luxus, den wir genießen, da Verbraucher wie Mitfahrgelegenheiten und Essenslieferdienste auf APIs aufbauen“, sagte Ameya Talwalkar, CEO und Gründer von Cequence Security. „Unsere Untersuchungen haben ergeben, dass die innovativen Wege, mit denen Unternehmen das Kundenerlebnis verbessern können, auch die größte Bedrohung für ihre Sicherheit, das Kundenvertrauen und letztendlich für ihr Endergebnis darstellen. Diese Unternehmen müssen überdenken, was in ihrer Sicherheitsstrategie priorisiert wird, beginnend mit dem API-Schutz.“

Der vom CQ Prime Threat Research Team entwickelte Bericht basiert auf einer Analyse von mehr als 20 Milliarden API-Transaktionen, die in der ersten Hälfte des Jahres 2022 beobachtet wurden, und versucht, die wichtigsten API-Bedrohungen hervorzuheben, die Unternehmen heute plagen.

Größte Bedrohung Nr. 1: Schatten-APIs werden von 5 Milliarden böswilligen Anfragen getroffen

Ungefähr 5 Milliarden (31 %) der 16.7 Milliarden böswilligen Anfragen, die beobachtet wurden, zielten auf unbekannte, nicht verwaltete und ungeschützte APIs ab, die gemeinhin als Schatten-APIs bezeichnet werden, und deckten eine Vielzahl von Anwendungsfällen ab. Von den hochgradig volumetrischen Sneaker-Bots, die versuchen, sich die neuesten Dunks oder Air Jordans zu schnappen, über heimliche Angreifer, die versuchen, einen langsamen Kartentestbetrug mit gestohlenen Kreditkarten zu begehen, bis hin zu reinen Brute-Force-Credential-Stuffing-Kampagnen. Angetrieben durch hochvolumiges Content Scraping als Vorläufer von Shopping-Bot- und Geschenkkartenangriffen nahmen Angriffe auf Schatten-APIs im April 2022 stark zu und haben das Volumen im Laufe des Jahres weiter zugenommen.

Buchbesprechung: Giganten fangen.
Trending
Buchbesprechung: Giganten fangen.

Größte Bedrohung Nr. 2: API-Missbrauch

Basierend auf 3.6 Milliarden Angriffen, die vom CQ Prime Threat Research Team blockiert wurden, war die zweitgrößte API-Sicherheitsbedrohung, die in der ersten Hälfte des Jahres 2022 gemindert wurde, der API-Missbrauch, d. h. Angreifer, die auf ordnungsgemäß codierte und inventarisierte APIs abzielten. Dieses Ergebnis unterstreicht die Notwendigkeit, branchenübliche Listen wie OWASP als Ausgangspunkt und nicht als Endziel zu verwenden. Die am häufigsten blockierten Angriffe weisen auf die Strategien der Angreifer hin. Diese enthielten: 

● 3 Milliarden Shopping-Bots, die es auf Turnschuhe oder Luxusgüter abgesehen haben 

● 290 Millionen Überprüfungsangriffe auf Geschenkkarten

● Die versuchte Erstellung von etwa 237 Millionen gefälschten Konten bei beliebten Dating- und Shopping-Apps 

Top-Bedrohung Nr. 3: The Unholy Trinity: Credential Stuffing, Shadow-APIs und Offenlegung sensibler Daten

Basierend auf 100 Millionen Angriffen bedeutet die kombinierte Nutzung von API2 (Broken User Authentication), API3 (Excessive Data Exposure) und API9 (Unsachgemäßes Assets Management) zweierlei: Angreifer führen detaillierte Analysen durch, wie jede API funktioniert und wie sie mit jeder interagieren andere und das erwartete Ergebnis, und Entwickler müssen stets wachsam bleiben, um die Best Practices für die API-Codierung zu befolgen.

Account Takeover Mitigation spart 193 Millionen US-Dollar

Das CQ Prime Threat Research Team hob die anhaltende Beliebtheit von Account Takeovers (ATO) hervor und half Kunden dabei, rund 1.17 Milliarden böswillige Account-Anmeldeanfragen zu entschärfen – alle gegen APIs. Die Popularität von ATOs kann direkt mit ihrer Vielseitigkeit in Verbindung gebracht werden, die durch die Einführung von APIs für Kontoanmeldungen verstärkt wurde und in diesem Bericht gezeigt wird. Noch wichtiger ist, dass die Auswirkungen einer ATO auf das Unternehmen erheblich sind, wobei die Kosten für jeden Vorfall zwischen 290 US-Dollar (Juniper Research) und ungefähr 9 Stunden Ermittlungsarbeit und 311 US-Dollar (Federal Trade Commission) variieren. Die Minderungsbemühungen schützten rund 11.7 Millionen Konten, was einer Einsparung von 193 Millionen US-Dollar bei allen Kunden entspricht.

„Unsere Analysen und Ergebnisse basieren auf echten Angriffen in freier Wildbahn“, sagte William Glazier, Director of Threat Research bei Cequence Security. „Unsere Ergebnisse unterstreichen, wie wichtig es ist, dass IT- und Sicherheitsverantwortliche ein vollständiges Verständnis dafür haben, wie korrekt codierte APIs sowie solche mit Fehlern angegriffen werden können. Allein die Stichprobengröße von 20 Milliarden bedeutet, dass Unternehmen aller Branchen mit hoher Wahrscheinlichkeit von dieser Art von Bedrohungen betroffen sind.“

Der Bericht hebt hervor, wie wichtig es ist, die Taktiken, Techniken und Verfahren (TTPs) zu verstehen, die Angreifer verwenden, um Risiken auszunutzen, und wie Angreifer auf Widerstand reagieren. Dies bedeutet nicht nur sicherzustellen, dass APIs nicht für die OWASP API Security Top 10 als Ausgangspunkt anfällig sind, sondern auch zu prüfen, was als API10+ definiert werden kann, eine Kategorie, die die vielen verschiedenen Möglichkeiten umfasst, wie eine perfekt codierte API missbraucht werden könnte.

Bitte besuchen Sie die Website von Cequence Security, um mehr zu erfahren, und wenden Sie sich an:

● Laden Sie die vollständigen Ergebnisse des Berichts herunter

● Registrieren Sie sich für das Webinar am Donnerstag, den 27. Oktober 2022, API Protection Report: First Half 2022 Findings um 11:11 Uhr PDT und XNUMX:XNUMX Uhr BST 

● Zeigen Sie die Infografik an

Über Sequenz

Cequence Security, der Pionier des einheitlichen API-Schutzes, ist die einzige Lösung, die API-Erkennung, Bestandsverfolgung, Risikoanalyse und native Minderung mit bewährtem Echtzeit-Bedrohungsschutz gegen sich ständig weiterentwickelnde API-Angriffe vereint. Cequence Security sichert täglich mehr als 6 Milliarden API-Aufrufe und schützt mehr als 2 Milliarden Benutzerkonten unserer Fortune-500-Kunden. Unsere Kunden vertrauen darauf, dass wir ihre APIs und Webanwendungen mit der effektivsten und anpassungsfähigsten Abwehr gegen Online-Betrug, Angriffe auf die Geschäftslogik, Exploits und unbeabsichtigte Datenlecks schützen, wodurch sie in der sich ständig verändernden Geschäfts- und Bedrohungslandschaft von heute widerstandsfähig bleiben. Erfahren Sie mehr unter www.cequence.ai.

###

Wir glauben, dass Ihnen Folgendes gefallen wird:

Ameya Talwalkar

In den letzten 10 Jahren hat Ameya Talwalkar starke Ingenieurteams aufgebaut, die sich auf Unternehmens- und Verbrauchersicherheit in Silicon Valley, Los Angeles, Madrid, Pune und Chengdu spezialisiert haben. Bevor er Cequence Security mitbegründete, war er Director of Engineering bei Symantec, wo er für den Anti-Malware-Software-Stack verantwortlich war, der Network Intrusion Prevention und Verhaltens- und Reputationstechnologien sowie Antiviren-Engines nutzt. Unter seiner Führung entwickelte Symantec eine fortschrittliche Version der Network Intrusion Prevention-Technologie, die mehr als zwei Milliarden Bedrohungen pro Jahr blockiert. Ameya hat einen Bachelor of Engineering in Elektrotechnik vom Sardar Patel College of Engineering (SPCE) der Universität Mumbai.

Überwindung der Hindernisse für die Einführung von KI

Kit Cox • 02. Mai 2024

Die Leistungsfähigkeit der KI in Kombination mit geeigneten Anwendungsfällen und einem robusten Implementierungsplan kann Unternehmen dabei helfen, den Zeitaufwand für manuelle, sich wiederholende Aufgaben drastisch zu reduzieren und es Teams zu ermöglichen, wertschöpfende Arbeiten zu priorisieren. Aber bei all der Aufregung wird deutlich, dass viele Unternehmen durch Trägheit und Unverständnis über ... zurückgehalten werden.

Überwindung der Hindernisse für die Einführung von KI

Kit Cox • 02. Mai 2024

Die Leistungsfähigkeit der KI in Kombination mit geeigneten Anwendungsfällen und einem robusten Implementierungsplan kann Unternehmen dabei helfen, den Zeitaufwand für manuelle, sich wiederholende Aufgaben drastisch zu reduzieren und es Teams zu ermöglichen, wertschöpfende Arbeiten zu priorisieren. Aber bei all der Aufregung wird deutlich, dass viele Unternehmen durch Trägheit und Unverständnis über ... zurückgehalten werden.

Wie prädiktive KI dem Energiesektor hilft

Colin Gault, Produktleiter bei POWWR • 29. April 2024

Im letzten Jahr oder so haben wir das Aufkommen vieler neuer und spannender Anwendungen für prädiktive KI in der Energiebranche erlebt, um Energieanlagen besser zu warten und zu optimieren. Tatsächlich waren die Fortschritte in der Technologie geradezu rasant. Die Herausforderung bestand jedoch darin, die „richtigen“ Daten bereitzustellen …

Wie prädiktive KI dem Energiesektor hilft

Colin Gault, Produktleiter bei POWWR • 29. April 2024

Im letzten Jahr oder so haben wir das Aufkommen vieler neuer und spannender Anwendungen für prädiktive KI in der Energiebranche erlebt, um Energieanlagen besser zu warten und zu optimieren. Tatsächlich waren die Fortschritte in der Technologie geradezu rasant. Die Herausforderung bestand jedoch darin, die „richtigen“ Daten bereitzustellen …

Cheltenham MSP ist erster offizieller lokaler Cyberberater

Neil Smith, Geschäftsführer von ReformIT • 23. April 2024

ReformIT, ein Managed IT Service and Security Provider (MSP) mit Sitz in der britischen Cyber-Hauptstadt Cheltenham, ist der erste MSP in der Region, der sowohl als Cyber ​​Advisor als auch als Cyber ​​Essentials-Zertifizierungsstelle akkreditiert wurde. Das Cyber ​​Advisor-Programm wurde vom offiziellen National Cyber ​​Security Center (NCSC) der Regierung und dem ... ins Leben gerufen.

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Was ist eine User Journey?

Erin Lanahan • 19. April 2024

User Journey Mapping ist der Kompass, der Unternehmen zu kundenorientiertem Erfolg führt. Durch die sorgfältige Verfolgung der Schritte, die Benutzer bei der Interaktion mit Produkten oder Dienstleistungen unternehmen, erhalten Unternehmen tiefgreifende Einblicke in die Bedürfnisse und Verhaltensweisen der Benutzer. Das Verständnis der Emotionen und Vorlieben der Benutzer an jedem Berührungspunkt ermöglicht die Schaffung maßgeschneiderter Erlebnisse, die tiefe Resonanz finden. Durch strategische Segmentierung, personengesteuertes Design,...