Was steht der API-Sicherheit im Jahr 2023 bevor?

7. Februar 2023

API-Missbrauch und damit verbundene Datenschutzverletzungen

Gartner sagte, dass API-Angriffe der häufigste Angriffsvektor im Jahr 2022 sein würden, was zu Datenschutzverletzungen für Unternehmens-Webanwendungen führen würde. Gartner prognostiziert außerdem, dass sich API-Missbrauch und damit verbundene Datenschutzverletzungen bis 2024 verdoppeln werden.  

Für 2023 sehen wir keinen Grund, daran zu zweifeln, dass APIs weiterhin ein Top-Ziel für Angreifer sein werden, was zu Diebstahl, Betrug und Geschäftsunterbrechungen führen wird. Der aktuelle API-Sicherheitsvorfall von Optus Telecom zeigt die neue Ebene der Analyse, die Angreifer durchführen, um zu verstehen, wie die einzelnen APIs funktionieren, wie sie miteinander interagieren und was das erwartete Ergebnis ist. In einem weiteren Beispiel für den Missbrauch des Vertrauens, das durch die API-Host-zu-Benutzer-Beziehung aufgebaut wurde, wurde eine lokale Bestandssuchfunktion, mit der Ulta Beauty-Kunden Produkte in der Nähe finden und kaufen konnten, von einem Angriff getroffen, der 700-mal größer war als die durchschnittliche Last . 

Nachfrage nach API-Schutzlösungen

Die Nachfrage nach API-Schutzlösungen, die über den gesamten API-Schutzlebenszyklus hinweg funktionieren und alle APIs, alle API-Implementierungen, Kanäle und Infrastrukturumgebungen sowie alle Benutzergruppen und Geschäftsanwendungsfälle schützen, wird zunehmen. Jüngste Berichte unterstützen diese Annahme, indem sie beobachten, dass mit der zunehmenden Häufigkeit böswilliger Angriffe auf APIs die Nachfrage nach API-Sicherheitslösungen zwischen 26.3 und 2022 mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 2032 % wachsen wird, was einem Gesamtumsatz von rund 10 Mrd. USD entspricht 2032.

Scaleup Spotlight: Circuit perfektioniert das Liefererlebnis auf der letzten Meile
Trending
Scaleup Spotlight: Circuit perfektioniert das Liefererlebnis auf der letzten Meile

Talentmangel

Überforderte IT-Sicherheitsteams werden weiterhin nicht genügend Zeit haben, um API-Schwachstellen aufzudecken. Hinzu kommt, dass viele Sicherheitsteams in die schwierige Situation geraten, ihre Angriffsfläche mit begrenzten Ressourcen zu schützen und gleichzeitig mit dem anhaltenden Talentmangel fertig zu werden. Und Angreifer sind raffiniert und unerbittlich und verwenden fortschrittliche Tools wie künstliche Intelligenz, maschinelles Lernen und Automatisierung. Wir gehen davon aus, dass sie zunehmend in der Lage sein werden, den Lebenszyklus von End-to-End-Angriffen von der Aufklärung bis zur Ausnutzung von Wochen auf Tage oder Stunden zu beschleunigen. 

OWASP-API-Sicherheitsbedrohungen

Wir werden weitere Sicherheitsvorfälle und Datenschutzverletzungen sehen, die zeigen, wie Angreifer die vom Open Web Application Security Project (OWASP) kategorisierten Sicherheitslücken nutzen, um ihre Angriffe auszuführen. Die bei diesen Vorfällen beobachteten Techniken ahmen die im API-Schutzbericht beschriebenen nach, in denen Angreifer aktiv die sicherheitskategorisierten OWASP-API-Bedrohungen mischen und abgleichen, um gängige Sicherheitskontrollen zu umgehen. 

Im kommenden Jahr werden wir sehen, wie sich Angreifer dazu entwickeln, die unheilige Dreifaltigkeit der von OWASP identifizierten API-Sicherheitslücken zu nutzen. Diese Kombination wird weiterhin drei verschiedene Taktiken beinhalten – Broken User Authentication (API2), Excessive Data Exposure (API3) und Improper Assets Management (API9) – um gängige Sicherheitskontrollen zu umgehen und ihr Endziel zu erreichen. Die zunehmende Kombination dieser drei Bedrohungen deutet darauf hin, dass Angreifer neue Analyseebenen durchführen werden, um zu verstehen, wie jede API funktioniert – einschließlich der Art und Weise, wie sie miteinander interagieren und was das erwartete Ergebnis sein wird. 

Schatten-APIs

Schatten-APIs werden weiterhin die größte Bedrohung für die Branche sein. Angriffe auf Schatten-APIs sind effektiv, weil sie harmlose Fehler in der Entwicklung und Asset-Management-Steuerung ausnutzen. Diese Fehler werden häufig von Bots missbraucht, die sich auf die mangelnde API-Sichtbarkeit bei den Verteidigern verlassen. Neue Untersuchungen des Cequence CQ Prime Threat Research-Teams ergaben, dass 31 % oder 5 Milliarden böswillige Transaktionen, die in der ersten Hälfte des Jahres 2022 beobachtet wurden, auf unbekannte, nicht verwaltete und ungeschützte APIs abzielten, die gemeinhin als Schatten-APIs bezeichnet werden.  

Konsolidierung von Anbietern von API-Sicherheitstools

Eine weitere Konsolidierung der Anbieter von API-Sicherheitstools wird auch im Jahr 2023 erwartet. Wie wir in letzter Zeit gesehen haben, haben Anbieter von Web Application Firewalls (WAF) Bot-Management-Unternehmen übernommen, um End-to-End-Anwendungsschutz anzubieten. Beispiele für diese Aktivität sind Imperva und Distil Networks sowie F5 und Shape. Jetzt versuchen ihre Kunden, APIs mit Einzelprodukten von einer Reihe von API-Sicherheitsanbietern zu schützen, was zu Anbietermüdigkeit und Alarmmüdigkeit führt. 

Während wir von einem Investitionsumfeld, das „Wachstum um jeden Preis“ belohnt, zu „nachhaltigem Wachstum in Richtung Rentabilität“ wechseln, werden zahlreiche API-Sicherheits-Startups kaum eine andere Wahl haben, als übernommen zu werden. Unternehmen, die immer noch mit einem akuten Talentmangel zu kämpfen haben, werden trotz der Fristen der Entlassungen im Technologiebereich in letzter Zeit nach Anbietern suchen, die eine vollständige, umfassende Plattform oder Lösung für die wachsenden Herausforderungen der Anwendungs- und API-Sicherheit von heute anbieten. 

Die Sicherheitsanforderungen von Unternehmens-APIs werden nur durch eine Lösung erfüllt, die den gesamten Lebenszyklus des API-Schutzes abdeckt, was das Erreichen von Transparenz in alle APIs, einschließlich öffentlicher, interner und nicht verwalteter APIs, und die Minderung von API-Schwachstellen, die Gewährleistung der API-Compliance und die Erkennung und Verhinderung von Angriffen auf APIs.

Aufsichtsrechtliche Prüfung der API-Sicherheit

Mit der zunehmenden Zahl von hochkarätigen Verstößen wird es eine verstärkte behördliche Prüfung der API-Sicherheit geben, was zu mehr behördlichen Vorschriften und Anforderungen an die Branchenzertifizierung führt. Wenn ein Unternehmen beispielsweise APIs verwendet, die Informationen zu Zahlungskarten enthalten, müssen dieses Unternehmen und seine technischen Partner diese APIs unterstützen, um die Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) zu erfüllen. Im Jahr 2022 wurde der PCI DSS aktualisiert, um weitere Informationen und Anweisungen zu den Anforderungen für die Entwicklung und Wartung sicherer Systeme und Software hinzuzufügen.  

In Australien haben jüngste Datenschutzverletzungen API-Schwachstellen ins Rampenlicht gerückt und möglicherweise das Australian Cyber ​​Security Centre (ACSC) veranlasst, sie in sein einflussreiches Information Security Manual (ISM) aufzunehmen. Die neueste Ausgabe des ISM fügt eine neue Kontrolle hinzu, „um sicherzustellen, dass Clients authentifiziert werden, wenn sie Programmierschnittstellen für Webanwendungen aufrufen, die den Zugriff auf Daten erleichtern, die nicht für die Veröffentlichung in der öffentlichen Domäne autorisiert sind“. 

Telekom im Visier

Angesichts von Datenschutzverletzungen im Telekommunikationssektor werden Bedrohungsakteure versuchen, auf dieser Dynamik aufzubauen, um Anbieter auszunutzen, denen es aufgrund ihrer vielen Unterunternehmen und Partner an Einblick in APIs mangelt. Da Telekommunikationsunternehmen neue Technologien und die damit verbundene Nutzung von APIs einführen, wird das Potenzial für Datenschutzverletzungen in diesen Unternehmen zunehmen, was Millionen von Benutzern betreffen und zu Diebstahl, Betrug und Unterbrechungen führen wird. 

Die Gute Nachricht

Während einige dieser Vorhersagen düster oder überwältigend erscheinen und das Risiko einer Überlastung bereits überlasteter IT-Sicherheitsteams bergen, gibt es gute Nachrichten. Es sind API-Schutzlösungen verfügbar, die dazu beitragen können, APIs über ihren gesamten Lebenszyklus hinweg zu schützen, indem sie eine gemeinsame Anstrengung von Entwicklern, Anwendungseigentümern und dem Sicherheitsteam nutzen, um Folgendes zu erreichen. Bei der Auswahl einer Lösung sollte das Unternehmen auf die Bereitstellung von Folgendem achten:

• Outside-in-Discovery: Um einen Einblick in den öffentlich zugänglichen API-Fußabdruck zu gewinnen und um zu sehen, was ein Angreifer sehen würde. 

• Inside-Out-Inventar: Ergänzt die externe Ansicht der APIs und zugehöriger Ressourcen durch ein umfassendes Inside-Out-API-Inventar, einschließlich aller vorhandenen APIs und Verbindungen. 

• Compliance-Überwachung: Kontinuierliche Analyse bestehender und neuer APIs, um sicherzustellen, dass sie Spezifikationen wie der OpenAPI-Spezifikation entsprechen, und stellt eine hohe API-Codierungsqualität, -konsistenz und -Governance sicher. 

• Bedrohungserkennung: Selbst perfekt codierte APIs können angegriffen werden, daher ist es wichtig, das gesamte API-Inventar kontinuierlich auf Bedrohungen zu scannen, einschließlich subtiler Missbräuche der Geschäftslogik und böswilliger Aktivitäten, die noch nicht beobachtet wurden. 

• Bedrohungsprävention: Es ist entscheidend, schnell und nativ mit Gegenmaßnahmen wie Warnungen, Blockierung in Echtzeit und sogar Täuschung reagieren zu können, ohne dass zusätzliche Datensicherheitstools von Drittanbietern erforderlich sind. 

• Laufende API-Tests: Integration des API-Schutzes in die Entwicklung, um die API-Sicherheitsbemühungen zu ergänzen, die durch Shift-Left-Bemühungen innerhalb der Organisation definiert wurden, wodurch verhindert wird, dass riskanter Code live geht. 

Wir glauben, dass Ihnen Folgendes gefallen wird:

Ameya Talwalkar

In den letzten 10 Jahren hat Ameya Talwalkar starke Ingenieurteams aufgebaut, die sich auf Unternehmens- und Verbrauchersicherheit in Silicon Valley, Los Angeles, Madrid, Pune und Chengdu spezialisiert haben. Bevor er Cequence Security mitbegründete, war er Director of Engineering bei Symantec, wo er für den Anti-Malware-Software-Stack verantwortlich war, der Network Intrusion Prevention und Verhaltens- und Reputationstechnologien sowie Antiviren-Engines nutzt. Unter seiner Führung entwickelte Symantec eine fortschrittliche Version der Network Intrusion Prevention-Technologie, die mehr als zwei Milliarden Bedrohungen pro Jahr blockiert. Ameya hat einen Bachelor of Engineering in Elektrotechnik vom Sardar Patel College of Engineering (SPCE) der Universität Mumbai.

Neue Umfragen zur Beliebtheit von Programmiersprachen unterstreichen die Vorteile modernisierter...

Graham Morphew • 04. Mai 2023

Die Modernisierung von VxWorks bekräftigt unser Engagement, das zu liefern, was unsere Kunden am meisten wollen: die Fähigkeit, Innovationen zu beschleunigen, ohne Sicherheit, Zuverlässigkeit und Zertifizierbarkeit zu opfern. Wie auch immer Sie die digitale Transformation definieren, wo immer Sie sich auf Ihrem Weg zu modernen DevOps befinden, Geschwindigkeit ist von entscheidender Bedeutung.

Schalten Sie die Kraft von WiFi 6 frei: So nutzen Sie es ...

TBT-Newsroom • 01. März 2023

Sind Sie es leid, in der technologischen Welt zurückgelassen zu werden? Nun, keine Angst! WiFi 6 ist hier, um den Tag zu retten und Ihr Unternehmen in die Zukunft zu führen. Mit beispiellosen Geschwindigkeiten und einer Vielzahl neuer Funktionen ist WiFi 6 die unverzichtbare Technologie für jedes Unternehmen, das der Zeit voraus sein möchte.