API-Angriffe – warum sie für Telekommunikationsunternehmen eine besondere Herausforderung darstellen

Ein Bild von , Nachrichten, API-Angriffe – warum sie für Telekommunikationsunternehmen eine besondere Herausforderung darstellen

Gegen die angebliche Einfachheit der Angriffe auf Application Programming Interfaces (APIs) hagelte es zuletzt heftige Kritik an Telekommunikationsanbietern. Allerdings stehen Telekommunikationsunternehmen bei der Sicherung ihrer APIs vor besonderen Herausforderungen, da sie im Zuge der Ausweitung des IoT Tausende von Anwendungen über eine ständig wachsende Anzahl von Geräten bedienen. Darüber hinaus sind viele mit einem ausgedehnten IT-Bestand und geerbten Systemen, einschließlich älterer Legacy-APIs, konfrontiert, der dann durch Abonnentenwachstum und M&A-Aktivitäten weiter gestört wird. Folglich läuft im Vergleich zu anderen Unternehmen ein unverhältnismäßig großer Teil des Telekommunikationsökosystems auf APIs.

Auch die jüngsten Schlagzeilen machenden API-Angriffe waren raffinierter, als man auf den ersten Blick vermuten würde. Angreifer kombinieren jetzt mehrere Angriffsmethoden aus dem Menü der OWASP API Top Ten, wobei API2 (Broken User Authentication) mit API3 (Excessive Data Exposure) und API9 (Improper Assets Management) kombiniert wird. Telekommunikationsunternehmen sind in dieser Hinsicht nicht die einzigen, denn im ersten Halbjahr 2022 war ein deutlicher Trend bei Angriffen auf undokumentierte oder „Schatten“-APIs und taktische Angriffe zu verzeichnen, die mehrere OWASP-Bedrohungen oder API10+ nutzen, wie im API Protection Report behandelt. 

Bei einem der diesjährigen Angriffe waren die missbrauchten APIs für eine Entwicklungstestumgebung gedacht, wurden jedoch versehentlich öffentlich zugänglich gemacht. Bei der Erkundung des Netzwerks stellten die Angreifer fest, dass die APIs nicht authentifiziert und nicht autorisiert waren, und antworteten mit Kundendaten aus einer Live-Datenbank. Es gab auch keine Überprüfungen des Schlüsseleingabeparameters, der für jeden Benutzer eine Schlüsselkennung liefert, was es zu einer trivialen Übung machte, dann einen Bot-Angriff zu starten, um verschiedene Benutzer-IDs zu durchlaufen, bevor die Kundendaten zurückgegeben wurden. 

Ein Weckruf

Es ist wichtig zu beachten, dass diese Art von Angriff blitzschnell sein kann und bei unzureichender Sicherheit nur wenige Minuten in Anspruch nehmen kann. Infolgedessen erkennen Betreiber auf der ganzen Welt nun, dass sie die APIs in ihrem Netzwerk erkennen, eine Erkennung einrichten müssen, um zu erkennen, wann und wie sich ein Angriff manifestiert, und ihre APIs verteidigen müssen. 

In einem anderen Beispiel führte ein großer Mobilfunkbetreiber mit über 100 Millionen Abonnenten kürzlich eine Entdeckungsübung durch, um die APIs seiner Infrastruktur zu überprüfen. Es stellte fest, dass über tausend ungeschützte API-Server, was 18 Prozent der Serverbasis entspricht, öffentlich zugänglich waren. Über 30 Prozent der API-Server hatten SSL-Probleme wie ungültige oder abgelaufene Zertifikate, die es einem Angreifer ermöglicht hätten, einen Man-in-the-Middle-Angriff zu starten. 

Das Telekommunikationsunternehmen entdeckte außerdem über 107 Dateien, die private Schlüssel offenlegen könnten, die in den falschen Händen für den Zugriff auf geschäftskritische Geschäftsinformationen hätten verwendet werden können. Darüber hinaus wurden trotz einer früheren rigorosen Patching-Kampagne zur Behebung der Bedrohung durch die Log4Shell-Schwachstelle fünf APIs entdeckt, die weiterhin anfällig für dieses Problem sind.

Bei einem weiteren Angriff gegen einen der größten Telekommunikationsanbieter der Welt wurde der größte OWASP-Exploit – Broken Object Level Authorization – genutzt, um den Zugriff auf die API aufzulisten, um einen Account Takeover (ATO)-Angriff mit dem Endziel des SIM-Tauschs durchzuführen.

Die Kriminellen wollten Informationen über ein Kundenkonto erhalten, indem sie aufzählten, ob Mobilfunknummern in das Netz des Anbieters übertragen werden könnten. Nachdem der Angreifer übertragbare Telefonnummern entdeckt hatte, versuchte er, sich als Kontoinhaber auszugeben, um einen Mitarbeiter dazu zu bringen, die Handynummer auf eine SIM-Karte im Besitz des Angreifers zu übertragen. Ab diesem Zeitpunkt könnte der Angreifer dann die Kontrolle über die sensiblen Konten des Opfers übernehmen, indem er eine SMS-basierte 2FA durchführt.

Die Erkennung solcher Angriffe ist schwierig, da der Datenverkehr über mehrere IP-Bereiche von bekanntermaßen bösartigen Bulletproof Proxies rotiert. Es gibt jedoch verräterische Werbegeschenke. Das Timing der Anfrage war zu perfekt, da die Angreifer in Abständen von zwei Sekunden eine einzelne API-Endpunktanfrage pro IP initiierten, was zu neun Millionen böswilligen Anfragen führte, und es gab ein hohes Verhältnis von IP zu Anfrage, da jede Telefonnummer von vorne versucht wurde 200 IP-Adressen. Da das Telekommunikationsunternehmen diese verdächtige Aktivität erkennen konnte, konnte der Angriff während der zehn Stunden, in denen er andauerte, erfolgreich blockiert werden.

Verbesserung der API-Sicherheit

Da Angreifer eine größere Vielfalt an Taktiken, Techniken und Verfahren (TTPs) einsetzen, liegt die Verantwortung nun bei den Telekommunikationsanbietern. Aber wenn diese Angriffe entgegen der Meinung raffiniert sind und der Telekommunikationsbereich schwer zu sichern ist, was kann dann getan werden, um diese APIs zu sichern?

Finden Sie zunächst heraus, womit Sie es zu tun haben, indem Sie Ihre APIs dokumentieren und mithilfe einer Laufzeitinventur sicherstellen, dass alle APIs bekannt sind. Wenn APIs hochgefahren und vergessen werden, kann der Angreifer sie nach Belieben und unentdeckt analysieren.

Zweitens ist es wichtig zu beachten, dass selbst perfekt codierte APIs immer noch anfällig für Missbrauch sein können. Obwohl die Einbeziehung von Sicherheitstests in den Entwicklungsprozess (auch bekannt als „Shift Left“) von entscheidender Bedeutung ist, sollten alle APIs als anfällig betrachtet werden. Dies liegt daran, dass der Missbrauch der Geschäftslogik, bei dem der Angreifer die API ausspioniert und legitime Anfragen verwendet, um Zugriff zu erhalten, gegen diese APIs eingesetzt werden kann. 

Aus diesem Grund ist es wichtig zu wissen, wie das „normale“ Verhalten dieser API aussieht, und durch eine Verkehrsanalyse Abweichungen davon zu überwachen. Viele der vorhandenen API-Sicherheitsmechanismen wie WAFs oder API-Gateways basieren auf einer signaturbasierten Erkennung, wenn eine verhaltensbasierte Analyse erforderlich ist, die verdächtige Anfragen erkennen kann.

Das letzte Puzzleteil ist die Verteidigung. Die Möglichkeit, Ihre API-Infrastruktur durch die Augen eines Angreifers zu betrachten, kann es dem Unternehmen ermöglichen, seine öffentlich zugänglichen APIs und deren Hostingort zu identifizieren, wichtige Patches durchzuführen und sie kontinuierlich zu überwachen. Sollte es zu einem Angriff kommen, kann mit dem Vorfall auf vielfältige Weise umgegangen werden, von Echtzeitblockierung bis hin zum Einsatz von Täuschungs- und Ablenkungstechniken, um den Angreifer zu frustrieren und ihn zum Abbruch des Angriffs zu bewegen.

Im Fall des oben erwähnten vielschichtigen API10+-Angriffs würde die Erkennungsphase beispielsweise alle Schatten- oder öffentlich zugänglichen APIs aufdecken, während die Erkennung feststellen würde, ob eine Authentifizierung vorhanden war und ob die APIs in ihrer Antwort vertrauliche Daten verarbeiteten. Schließlich würde das Verteidigungselement auf das Wissen reagieren, dass ein Angreifer einen Bot-Angriff ausführt, und den Datenverkehr automatisch blockieren und den Angreifer abwehren.

Die einzige Möglichkeit für Telekommunikationsanbieter, diesen Angriffen entgegenzuwirken, ist die Einführung einer Sicherheitsstrategie, die den gesamten API-Lebenszyklus abdeckt und darauf abzielt, diese Angriffe zu erkennen, zu erkennen und abzuwehren, insbesondere angesichts der Komplexität ihres API-Bestands und ihrer Serviceangebote.

  

Ein Bild von , Nachrichten, API-Angriffe – warum sie für Telekommunikationsunternehmen eine besondere Herausforderung darstellen

Andy Mühlen

Andy Mills ist Vizepräsident EMEA für Cequence Security und unterstützt Unternehmen bei ihren API-Schutzstrategien, von der Entdeckung bis zur Erkennung und Schadensbegrenzung. Er ist ein leidenschaftlicher Verfechter der Notwendigkeit, den gesamten API-Lebenszyklus mit einem einheitlichen Ansatz abzusichern.
Bevor er zu Cequence kam, war er als CRO für einen großen Steuertechnologieanbieter tätig und war Teil des ursprünglichen weltweiten Pionierteams, das Palo Alto Networks, die branchenführende Next-Generation-Firewall, auf den Markt brachte.
Andy hat einen Bachelor of Science in Elektrotechnik und Elektronik von der Leeds Beckett University.

KI-Ausrichtung: Technische menschliche Sprache lehren

Daniel Langkilde • 05. Februar 2024

Unter verkörperter KI versteht man jedoch Roboter, virtuelle Assistenten oder andere intelligente Systeme, die mit einer physischen Umgebung interagieren und daraus lernen können. Zu diesem Zweck sind sie mit Sensoren ausgestattet, die Daten aus ihrer Umgebung sammeln können. Außerdem verfügen sie über KI-Systeme, die ihnen helfen, die gesammelten Daten zu analysieren und letztendlich zu lernen ...

CARMA gibt Übernahme von mmi Analytics bekannt

Jason Weekes • 01. Februar 2024

CARMA gibt die Übernahme von mmi Analytics bekannt und erweitert damit sein Fachwissen in den Bereichen Schönheit, Mode und Lifestyle. Die kombinierte Organisation wird die Landschaft der Medienintelligenz neu definieren und PR-Experten und Vermarktern beispielloses Fachwissen und umfassende Einblicke in die aufregende Welt der Schönheit, Mode und bieten Lebensstil.

Umgang mit dem Risiko der Exposition privater Inhalte im Jahr 2024

Tim Freistein • 31. Januar 2024

Für Unternehmen wird es immer schwieriger, den Datenschutz und die Einhaltung sensibler Kommunikationsinhalte zu gewährleisten. Cyberkriminelle entwickeln ihre Vorgehensweisen ständig weiter, was es schwieriger denn je macht, böswillige Angriffe zu erkennen, zu stoppen und den Schaden zu begrenzen. Aber was sind die wichtigsten Probleme, auf die IT-Administratoren im Jahr 2024 achten müssen?

Revolutionierung der Bodenkriegsumgebung mit softwaregestützten gepanzerten Fahrzeugen

Wind River • 31. Januar 2024

Gepanzerte Fahrzeuge, die speziell für geschäftskritische Einsätze gebaut werden, sind auf Steuerungssysteme angewiesen, die deterministisches Verhalten bieten, um strenge Echtzeitanforderungen zu erfüllen, extreme Zuverlässigkeit zu bieten und strenge Sicherheitsanforderungen gegen sich entwickelnde Bedrohungen zu erfüllen. Wind River® verfügt über die Partner und das Fachwissen, ein bewährtes Echtzeitbetriebssystem (RTOS), Software-Lifecycle-Management-Techniken und eine umfangreiche Erfolgsbilanz...

Die Notwendigkeit, die Verantwortung für die Umwelt nachzuweisen

Matt Tormollen • 31. Januar 2024

Wir befinden uns derzeit mitten in einer der folgenreichsten Energiewende seit Beginn der Aufzeichnungen. Die zunehmende Verfügbarkeit sauberer Elektronen hat Unternehmen in Großbritannien und darüber hinaus dazu motiviert, umweltfreundlich zu denken. Und das aus gutem Grund. Umweltbewusstes Handeln zieht Kunden an, beruhigt die Regulierungsbehörden, bindet Mitarbeiter und kann sogar Zuwendungen von der Regierung einbringen. Der...

Förderung von Innovationen im Aftermarket

Jim Monaghan • 31. Januar 2024

Ein Teil des Kfz-Handels profitiert von der Lebenshaltungskostenkrise: Da die Verbraucher ihre Autos länger behalten, sind unabhängige Werkstätten sehr gefragt. Aber sie stehen auch unter Druck. Ältere Autos müssen häufiger repariert werden. Sie benötigen mehr Ersatzteile, Reifen und Flüssigkeiten. Da Autobesitzer auf der Suche nach einem guten Preis-Leistungs-Verhältnis und einer schnellen Abwicklung sind, sind Unabhängige...

23andMe regt zum Umdenken beim Schutz von Daten an

Markus Grindey • 31. Januar 2024

Kürzlich machte 23andMe, der beliebte DNA-Testdienst, ein überraschendes Eingeständnis: Hacker hatten sich unbefugten Zugriff auf die persönlichen Daten von 6.9 Millionen Benutzern verschafft, insbesondere auf die Daten ihrer „DNA-Verwandten“.

Die Rückkehr der fünftägigen Bürowoche

Virgin Media • 25. Januar 2024

Virgin Media O2 Business hat heute seinen ersten Annual Movers Index veröffentlicht, aus dem hervorgeht, dass vier von zehn Unternehmen trotz weit verbreiteter Reiseverzögerungen und Störungen wieder Vollzeit im Büro sind. 2023 wird sich die Krise der Lebenshaltungskosten, des Second-Hand-Shoppings und der Nutzung öffentlicher Verkehrsmittel verfestigen stieg sprunghaft an, da die Briten versuchten, Geld zu sparen. Mithilfe aggregierter und anonymisierter britischer...