So erhalten Sie die richtige API-Erkennung
Anwendungsprogrammierschnittstellen (APIs) sind allgegenwärtig. Unternehmen haben sich zunehmend der API-Entwicklung zugewandt, um schnell und effizient konsistente, funktionsreiche Anwendungen zu erstellen. APIs sind zum Bindegewebe des Datenaustauschs geworden, was jedoch wichtige Sicherheitsfragen aufwirft.
Eine der wichtigsten dieser Fragen ist: Wie groß ist die API-Nutzung meines Unternehmens? Dies ist keine so einfache Abfrage, wie es zunächst scheinen mag. Unternehmen verwenden Hunderte und Tausende von APIs – neue APIs, die entwickelt wurden, um Standard-Frameworks zu erfüllen, APIs von Drittanbietern, Schatten-APIs ohne angemessene Sichtbarkeit und Dokumentation, ältere veraltete APIs und mehr.
Unternehmen können nicht effektiv schützen, was sie nicht haben. Daher spielt die API-Erkennung eine wesentliche Rolle beim Schutz vertraulicher Daten.
Der Status und die Bedeutung der API-Erkennung
Leider ist es aus Sicherheitssicht allzu normal, dass Unternehmen keinen Einblick in ihre allgemeine API-Nutzung haben. Tatsächlich bestätigen 37 % der Befragten einer Sicherheits- und ESG-Umfrage von Cequence, dass eine genaue Bestandsaufnahme der API-Nutzung ein Problem ist, das ihre Nutzung der API-basierten Entwicklung beeinträchtigt.
Unbekannte und Schatten-APIs sind so weit verbreitet, dass Kunden, die API-Inventarisierungen durchführen, innerhalb weniger Minuten nach der Verwendung von API-Inventarisierungen oft 100-mal mehr Schatten-APIs finden, als sie in ihren Netzwerken wussten.
Dieselbe Studie ergab, dass 41 % der Sicherheitsteams sich Sorgen über eine sich entwickelnde Bedrohungslandschaft machen. Zu den Angriffstypen, die in den OWASP API Security Top 10 zu sehen sind, gesellen sich Probleme wie Content Scraping oder Angreifer, die Konfigurationsfehler ausnutzen, um unerlaubten Zugriff zu erlangen.
Die Kombination von Faktoren, mit denen Unternehmen heute konfrontiert sind – weit verbreitete API-Nutzung, geringe Transparenz und eine komplexe Bedrohungslandschaft – hat zu einer neuen Ära der Datenschutzanforderungen geführt. Um die Entwicklungsvorteile zu nutzen, die die API-Nutzung so beliebt gemacht haben, hängt es auch davon ab, die Sicherheitsfrage richtig zu stellen.
Während die API-Erkennung aus Sicht der Gesamtsicherheit absolut unerlässlich ist, werden Unternehmen durch einen begrenzten Ansatz zur Erkennung ihrer APIs behindert. Bei der API-Erkennung gibt es zwei Perspektiven: Inside-out und Outside-in.
Inside-out bedeutet, das API-Inventar kontinuierlich von innen heraus zu identifizieren und zu verfolgen, seine Risiken zu bewerten und den Schutz auf diesen Erkenntnissen zu basieren. Outside-in beinhaltet die Analyse Ihres öffentlichen Bereichs, um die API-Angriffsfläche eines Unternehmens zu bestimmen und ihm effektiv zu zeigen, was ein Angreifer sehen würde. Diese Methoden haben jeweils ihre Grenzen, wenn Unternehmen ausschließlich die eine oder andere verwenden. Aus diesem Grund ist es am besten, sie zu kombinieren und sich einen wirklich umfassenden Überblick darüber zu verschaffen, wie sich Daten durch APIs bewegen.
Einen modernen API-Discovery-Ansatz verfolgen
Wie sieht es aus, wenn ein Unternehmen sowohl die Inside-Out- als auch die Outside-In-API-Erkennung ernst nimmt? Der Prozess kann zwei separate Tools umfassen, die jeweils für einen bestimmten Teil der Erkennung und Verteidigung des gesamten API-Fußabdrucks einer Organisation verantwortlich sind.
In der Praxis teilen sich die Rollen dieser beiden Arten von Systemen wie folgt auf:
API-Erkennung von außen nach innen
Wenn es um die API-Nutzung geht, kann das Sicherheitsteam eines Unternehmens nicht alles aus einer internen Sicht lernen. Eine Außenansicht öffentlich zugänglicher APIs ermöglicht es Sicherheitspersonal, Probleme zu erkennen, die andernfalls möglicherweise unbemerkt bleiben, wie z. B. interne APIs, die versehentlich öffentlich werden, oder Probleme mit veralteten APIs.
Ein Blick von außen nach innen bietet eine wertvolle Perspektive, die Sicherheits- und Compliance-Probleme aufdeckt, die selbst Standard-Schwachstellen- und Penetrationstests möglicherweise übersehen. Durch das Auffinden aller öffentlich sichtbaren Endpunkte verschafft eine solche Lösung den IT-Sicherheitsteams die gleiche Sicht wie ein potenzieller Angreifer und enthüllt die wahre externe Angriffsfläche des Unternehmens.
Der nächste Schritt nach dem Auffinden eines potenziellen Problems besteht darin, das Personal zu alarmieren, damit es Maßnahmen ergreifen kann. Durch das Studium eines Ranglisten-Dashboards von Bedrohungen können Teammitglieder die dringendsten Schwachstellen, denen das Team ausgesetzt ist, priorisieren.
API-Erkennung von innen nach außen
Um die Geschichte der API-Nutzung eines Unternehmens zu vervollständigen, ist sowohl eine interne als auch eine externe Sichtweise erforderlich. Auf diese Weise können Unternehmen alle ihre APIs unabhängig von ihrer Herkunft entdecken, katalogisieren und verfolgen.
In einem einfach zu lesenden Dashboard können Teammitglieder sowohl die interne als auch die öffentliche API-Nutzung sehen. Dies umfasst verwaltete APIs, nicht verwaltete APIs und alle verwendeten APIs von Drittanbietern. Zu den auf dem Dashboard angezeigten Metriken gehören Nutzungsstatistiken für die verschiedenen gefundenen APIs, z. B. geografische Verkehrsinformationen.
Die entdeckten APIs können dann nach Risikoprofil sortiert werden, um nahtlos von der Entdeckung in den Schutz und die Risikobeseitigung überzugehen. Sobald Sicherheitsteams den Umfang der API-Profile ihrer Unternehmen kennen, können sie damit beginnen, sie effektiver zu schützen.
Die Rolle der API-Erkennung in Unified API Protection
Discovery ist einer der wesentlichen Aspekte eines modernen, umfassenden Ansatzes für den API-Schutz. Eine solche einheitliche Methode unterscheidet sich von den üblichen „API-Sicherheits“-Angeboten, die Organisationen helfen können, einige Bedrohungen zu erkennen, die auf ihre APIs abzielen, sie aber nicht zum Schutz vor diesen Angriffen ausstatten.
Die API-Erkennung ist der erste Schritt in der Unified API Protection-Lebenszyklus. Erweiterte API-Erkennung ist am besten, wenn sie mit Echtzeiterkennung von Bedrohungen und Echtzeitreaktionen auf die dringendsten Risikofaktoren kombiniert wird. Unternehmen, die das volle Ausmaß ihrer Angriffsflächen kennen, den gesamten laufenden Datenverkehr sehen und über Abwehrmaßnahmen verfügen, sind ideal darauf vorbereitet, mit der heutigen API-gesteuerten Entwicklungsumgebung umzugehen.