Was steht der API-Sicherheit im Jahr 2023 bevor?

Ein Bild von , Nachrichten, Was steht der API-Sicherheit im Jahr 2023 bevor?

API-Missbrauch und damit verbundene Datenschutzverletzungen

Gartner sagte, dass API-Angriffe der häufigste Angriffsvektor im Jahr 2022 sein würden, was zu Datenschutzverletzungen für Unternehmens-Webanwendungen führen würde. Gartner prognostiziert außerdem, dass sich API-Missbrauch und damit verbundene Datenschutzverletzungen bis 2024 verdoppeln werden.  

Für 2023 sehen wir keinen Grund, daran zu zweifeln, dass APIs weiterhin ein Top-Ziel für Angreifer sein werden, was zu Diebstahl, Betrug und Geschäftsunterbrechungen führen wird. Der aktuelle API-Sicherheitsvorfall von Optus Telecom zeigt die neue Ebene der Analyse, die Angreifer durchführen, um zu verstehen, wie die einzelnen APIs funktionieren, wie sie miteinander interagieren und was das erwartete Ergebnis ist. In einem weiteren Beispiel für den Missbrauch des Vertrauens, das durch die API-Host-zu-Benutzer-Beziehung aufgebaut wurde, wurde eine lokale Bestandssuchfunktion, mit der Ulta Beauty-Kunden Produkte in der Nähe finden und kaufen konnten, von einem Angriff getroffen, der 700-mal größer war als die durchschnittliche Last . 

Nachfrage nach API-Schutzlösungen

Die Nachfrage nach API-Schutzlösungen, die über den gesamten API-Schutzlebenszyklus hinweg funktionieren und alle APIs, alle API-Implementierungen, Kanäle und Infrastrukturumgebungen sowie alle Benutzergruppen und Geschäftsanwendungsfälle schützen, wird zunehmen. Jüngste Berichte unterstützen diese Annahme, indem sie beobachten, dass mit der zunehmenden Häufigkeit böswilliger Angriffe auf APIs die Nachfrage nach API-Sicherheitslösungen zwischen 26.3 und 2022 mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 2032 % wachsen wird, was einem Gesamtumsatz von rund 10 Mrd. USD entspricht 2032.

Talentmangel

Überforderte IT-Sicherheitsteams werden weiterhin nicht genügend Zeit haben, um API-Schwachstellen aufzudecken. Hinzu kommt, dass viele Sicherheitsteams in die schwierige Situation geraten, ihre Angriffsfläche mit begrenzten Ressourcen zu schützen und gleichzeitig mit dem anhaltenden Talentmangel fertig zu werden. Und Angreifer sind raffiniert und unerbittlich und verwenden fortschrittliche Tools wie künstliche Intelligenz, maschinelles Lernen und Automatisierung. Wir gehen davon aus, dass sie zunehmend in der Lage sein werden, den Lebenszyklus von End-to-End-Angriffen von der Aufklärung bis zur Ausnutzung von Wochen auf Tage oder Stunden zu beschleunigen. 

OWASP-API-Sicherheitsbedrohungen

Wir werden weitere Sicherheitsvorfälle und Datenschutzverletzungen sehen, die zeigen, wie Angreifer die vom Open Web Application Security Project (OWASP) kategorisierten Sicherheitslücken nutzen, um ihre Angriffe auszuführen. Die bei diesen Vorfällen beobachteten Techniken ahmen die im API-Schutzbericht beschriebenen nach, in denen Angreifer aktiv die sicherheitskategorisierten OWASP-API-Bedrohungen mischen und abgleichen, um gängige Sicherheitskontrollen zu umgehen. 

Im kommenden Jahr werden wir sehen, wie sich Angreifer dazu entwickeln, die unheilige Dreifaltigkeit der von OWASP identifizierten API-Sicherheitslücken zu nutzen. Diese Kombination wird weiterhin drei verschiedene Taktiken beinhalten – Broken User Authentication (API2), Excessive Data Exposure (API3) und Improper Assets Management (API9) – um gängige Sicherheitskontrollen zu umgehen und ihr Endziel zu erreichen. Die zunehmende Kombination dieser drei Bedrohungen deutet darauf hin, dass Angreifer neue Analyseebenen durchführen werden, um zu verstehen, wie jede API funktioniert – einschließlich der Art und Weise, wie sie miteinander interagieren und was das erwartete Ergebnis sein wird. 

Schatten-APIs

Schatten-APIs werden weiterhin die größte Bedrohung für die Branche sein. Angriffe auf Schatten-APIs sind effektiv, weil sie harmlose Fehler in der Entwicklung und Asset-Management-Steuerung ausnutzen. Diese Fehler werden häufig von Bots missbraucht, die sich auf die mangelnde API-Sichtbarkeit bei den Verteidigern verlassen. Neue Untersuchungen des Cequence CQ Prime Threat Research-Teams ergaben, dass 31 % oder 5 Milliarden böswillige Transaktionen, die in der ersten Hälfte des Jahres 2022 beobachtet wurden, auf unbekannte, nicht verwaltete und ungeschützte APIs abzielten, die gemeinhin als Schatten-APIs bezeichnet werden.  

Konsolidierung von Anbietern von API-Sicherheitstools

Eine weitere Konsolidierung der Anbieter von API-Sicherheitstools wird auch im Jahr 2023 erwartet. Wie wir in letzter Zeit gesehen haben, haben Anbieter von Web Application Firewalls (WAF) Bot-Management-Unternehmen übernommen, um End-to-End-Anwendungsschutz anzubieten. Beispiele für diese Aktivität sind Imperva und Distil Networks sowie F5 und Shape. Jetzt versuchen ihre Kunden, APIs mit Einzelprodukten von einer Reihe von API-Sicherheitsanbietern zu schützen, was zu Anbietermüdigkeit und Alarmmüdigkeit führt. 

Während wir von einem Investitionsumfeld, das „Wachstum um jeden Preis“ belohnt, zu „nachhaltigem Wachstum in Richtung Rentabilität“ wechseln, werden zahlreiche API-Sicherheits-Startups kaum eine andere Wahl haben, als übernommen zu werden. Unternehmen, die immer noch mit einem akuten Talentmangel zu kämpfen haben, werden trotz der Fristen der Entlassungen im Technologiebereich in letzter Zeit nach Anbietern suchen, die eine vollständige, umfassende Plattform oder Lösung für die wachsenden Herausforderungen der Anwendungs- und API-Sicherheit von heute anbieten. 

Die Sicherheitsanforderungen von Unternehmens-APIs werden nur durch eine Lösung erfüllt, die den gesamten Lebenszyklus des API-Schutzes abdeckt, was das Erreichen von Transparenz in alle APIs, einschließlich öffentlicher, interner und nicht verwalteter APIs, und die Minderung von API-Schwachstellen, die Gewährleistung der API-Compliance und die Erkennung und Verhinderung von Angriffen auf APIs.

Aufsichtsrechtliche Prüfung der API-Sicherheit

Mit der zunehmenden Zahl von hochkarätigen Verstößen wird es eine verstärkte behördliche Prüfung der API-Sicherheit geben, was zu mehr behördlichen Vorschriften und Anforderungen an die Branchenzertifizierung führt. Wenn ein Unternehmen beispielsweise APIs verwendet, die Informationen zu Zahlungskarten enthalten, müssen dieses Unternehmen und seine technischen Partner diese APIs unterstützen, um die Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) zu erfüllen. Im Jahr 2022 wurde der PCI DSS aktualisiert, um weitere Informationen und Anweisungen zu den Anforderungen für die Entwicklung und Wartung sicherer Systeme und Software hinzuzufügen.  

In Australien haben jüngste Datenschutzverletzungen API-Schwachstellen ins Rampenlicht gerückt und möglicherweise das Australian Cyber ​​Security Centre (ACSC) veranlasst, sie in sein einflussreiches Information Security Manual (ISM) aufzunehmen. Die neueste Ausgabe des ISM fügt eine neue Kontrolle hinzu, „um sicherzustellen, dass Clients authentifiziert werden, wenn sie Programmierschnittstellen für Webanwendungen aufrufen, die den Zugriff auf Daten erleichtern, die nicht für die Veröffentlichung in der öffentlichen Domäne autorisiert sind“. 

Telekom im Visier

Angesichts von Datenschutzverletzungen im Telekommunikationssektor werden Bedrohungsakteure versuchen, auf dieser Dynamik aufzubauen, um Anbieter auszunutzen, denen es aufgrund ihrer vielen Unterunternehmen und Partner an Einblick in APIs mangelt. Da Telekommunikationsunternehmen neue Technologien und die damit verbundene Nutzung von APIs einführen, wird das Potenzial für Datenschutzverletzungen in diesen Unternehmen zunehmen, was Millionen von Benutzern betreffen und zu Diebstahl, Betrug und Unterbrechungen führen wird. 

Die Gute Nachricht

Während einige dieser Vorhersagen düster oder überwältigend erscheinen und das Risiko einer Überlastung bereits überlasteter IT-Sicherheitsteams bergen, gibt es gute Nachrichten. Es sind API-Schutzlösungen verfügbar, die dazu beitragen können, APIs über ihren gesamten Lebenszyklus hinweg zu schützen, indem sie eine gemeinsame Anstrengung von Entwicklern, Anwendungseigentümern und dem Sicherheitsteam nutzen, um Folgendes zu erreichen. Bei der Auswahl einer Lösung sollte das Unternehmen auf die Bereitstellung von Folgendem achten:

• Outside-in-Discovery: Um einen Einblick in den öffentlich zugänglichen API-Fußabdruck zu gewinnen und um zu sehen, was ein Angreifer sehen würde. 

• Inside-Out-Inventar: Ergänzt die externe Ansicht der APIs und zugehöriger Ressourcen durch ein umfassendes Inside-Out-API-Inventar, einschließlich aller vorhandenen APIs und Verbindungen. 

• Compliance-Überwachung: Kontinuierliche Analyse bestehender und neuer APIs, um sicherzustellen, dass sie Spezifikationen wie der OpenAPI-Spezifikation entsprechen, und stellt eine hohe API-Codierungsqualität, -konsistenz und -Governance sicher. 

• Bedrohungserkennung: Selbst perfekt codierte APIs können angegriffen werden, daher ist es wichtig, das gesamte API-Inventar kontinuierlich auf Bedrohungen zu scannen, einschließlich subtiler Missbräuche der Geschäftslogik und böswilliger Aktivitäten, die noch nicht beobachtet wurden. 

• Bedrohungsprävention: Es ist entscheidend, schnell und nativ mit Gegenmaßnahmen wie Warnungen, Blockierung in Echtzeit und sogar Täuschung reagieren zu können, ohne dass zusätzliche Datensicherheitstools von Drittanbietern erforderlich sind. 

• Laufende API-Tests: Integration des API-Schutzes in die Entwicklung, um die API-Sicherheitsbemühungen zu ergänzen, die durch Shift-Left-Bemühungen innerhalb der Organisation definiert wurden, wodurch verhindert wird, dass riskanter Code live geht. 

Ein Bild von , Nachrichten, Was steht der API-Sicherheit im Jahr 2023 bevor?

Ameya Talwalkar

In den letzten 10 Jahren hat Ameya Talwalkar starke Ingenieurteams aufgebaut, die sich auf Unternehmens- und Verbrauchersicherheit in Silicon Valley, Los Angeles, Madrid, Pune und Chengdu spezialisiert haben. Bevor er Cequence Security mitbegründete, war er Director of Engineering bei Symantec, wo er für den Anti-Malware-Software-Stack verantwortlich war, der Network Intrusion Prevention und Verhaltens- und Reputationstechnologien sowie Antiviren-Engines nutzt. Unter seiner Führung entwickelte Symantec eine fortschrittliche Version der Network Intrusion Prevention-Technologie, die mehr als zwei Milliarden Bedrohungen pro Jahr blockiert. Ameya hat einen Bachelor of Engineering in Elektrotechnik vom Sardar Patel College of Engineering (SPCE) der Universität Mumbai.

KI-Ausrichtung: Technische menschliche Sprache lehren

Daniel Langkilde • 05. Februar 2024

Unter verkörperter KI versteht man jedoch Roboter, virtuelle Assistenten oder andere intelligente Systeme, die mit einer physischen Umgebung interagieren und daraus lernen können. Zu diesem Zweck sind sie mit Sensoren ausgestattet, die Daten aus ihrer Umgebung sammeln können. Außerdem verfügen sie über KI-Systeme, die ihnen helfen, die gesammelten Daten zu analysieren und letztendlich zu lernen ...

CARMA gibt Übernahme von mmi Analytics bekannt

Jason Weekes • 01. Februar 2024

CARMA gibt die Übernahme von mmi Analytics bekannt und erweitert damit sein Fachwissen in den Bereichen Schönheit, Mode und Lifestyle. Die kombinierte Organisation wird die Landschaft der Medienintelligenz neu definieren und PR-Experten und Vermarktern beispielloses Fachwissen und umfassende Einblicke in die aufregende Welt der Schönheit, Mode und bieten Lebensstil.

Umgang mit dem Risiko der Exposition privater Inhalte im Jahr 2024

Tim Freistein • 31. Januar 2024

Für Unternehmen wird es immer schwieriger, den Datenschutz und die Einhaltung sensibler Kommunikationsinhalte zu gewährleisten. Cyberkriminelle entwickeln ihre Vorgehensweisen ständig weiter, was es schwieriger denn je macht, böswillige Angriffe zu erkennen, zu stoppen und den Schaden zu begrenzen. Aber was sind die wichtigsten Probleme, auf die IT-Administratoren im Jahr 2024 achten müssen?

Revolutionierung der Bodenkriegsumgebung mit softwaregestützten gepanzerten Fahrzeugen

Wind River • 31. Januar 2024

Gepanzerte Fahrzeuge, die speziell für geschäftskritische Einsätze gebaut werden, sind auf Steuerungssysteme angewiesen, die deterministisches Verhalten bieten, um strenge Echtzeitanforderungen zu erfüllen, extreme Zuverlässigkeit zu bieten und strenge Sicherheitsanforderungen gegen sich entwickelnde Bedrohungen zu erfüllen. Wind River® verfügt über die Partner und das Fachwissen, ein bewährtes Echtzeitbetriebssystem (RTOS), Software-Lifecycle-Management-Techniken und eine umfangreiche Erfolgsbilanz...

Die Notwendigkeit, die Verantwortung für die Umwelt nachzuweisen

Matt Tormollen • 31. Januar 2024

Wir befinden uns derzeit mitten in einer der folgenreichsten Energiewende seit Beginn der Aufzeichnungen. Die zunehmende Verfügbarkeit sauberer Elektronen hat Unternehmen in Großbritannien und darüber hinaus dazu motiviert, umweltfreundlich zu denken. Und das aus gutem Grund. Umweltbewusstes Handeln zieht Kunden an, beruhigt die Regulierungsbehörden, bindet Mitarbeiter und kann sogar Zuwendungen von der Regierung einbringen. Der...

Förderung von Innovationen im Aftermarket

Jim Monaghan • 31. Januar 2024

Ein Teil des Kfz-Handels profitiert von der Lebenshaltungskostenkrise: Da die Verbraucher ihre Autos länger behalten, sind unabhängige Werkstätten sehr gefragt. Aber sie stehen auch unter Druck. Ältere Autos müssen häufiger repariert werden. Sie benötigen mehr Ersatzteile, Reifen und Flüssigkeiten. Da Autobesitzer auf der Suche nach einem guten Preis-Leistungs-Verhältnis und einer schnellen Abwicklung sind, sind Unabhängige...

23andMe regt zum Umdenken beim Schutz von Daten an

Markus Grindey • 31. Januar 2024

Kürzlich machte 23andMe, der beliebte DNA-Testdienst, ein überraschendes Eingeständnis: Hacker hatten sich unbefugten Zugriff auf die persönlichen Daten von 6.9 Millionen Benutzern verschafft, insbesondere auf die Daten ihrer „DNA-Verwandten“.

Die Rückkehr der fünftägigen Bürowoche

Virgin Media • 25. Januar 2024

Virgin Media O2 Business hat heute seinen ersten Annual Movers Index veröffentlicht, aus dem hervorgeht, dass vier von zehn Unternehmen trotz weit verbreiteter Reiseverzögerungen und Störungen wieder Vollzeit im Büro sind. 2023 wird sich die Krise der Lebenshaltungskosten, des Second-Hand-Shoppings und der Nutzung öffentlicher Verkehrsmittel verfestigen stieg sprunghaft an, da die Briten versuchten, Geld zu sparen. Mithilfe aggregierter und anonymisierter britischer...