Neuen Angriffsflächen durch APIs begegnen

Neuen Angriffsflächen durch APIs begegnen

Beitrag teilen

Application Security: Neuen Angriffsflächen durch APIs begegnen. Um Anwendungen angemessen schützen zu können ist für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Anwendungen befinden sich heute in den unterschiedlichsten IT-Umgebungen, vom Rechenzentrum bis zum Smartphone, und ihre Zahl steigt unaufhaltsam. Auch hat die verstärkte Remote-Arbeit dazu geführt, dass immer mehr Applikationen in die Cloud ausgelagert werden müssen. Hierdurch haben sich potenzielle Risiken hinsichtlich der Applikationssicherheit noch vergrößert. Um ihre Anwendungen angemessen schützen zu können, ist deshalb für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Bots als Bedrohungsquelle

Bots sind zweifelsohne seit langem eine Bedrohungsquelle für Anwendungen und stehen mittlerweile an der Spitze der Liste erfolgreicher Angriffsmethoden. Da zudem viele Verstöße durch menschliches Versagen verursacht werden, ist es wichtiger denn je, dafür zu sorgen, dass keine Lücken in der Verteidigung offengelassen werden. Jedoch sollten sich Security-Teams nicht nur auf Bots konzentrieren. Auch Zero-Day-Bedrohungen, Schwachstellen in Webanwendungen, die Software-Lieferkette und APIs (Application Programming Interfaces) sind relevante Bereiche, denen Sicherheitsexperten ebenso viel Aufmerksamkeit widmen sollten.

Jüngste Forschungsdaten von Barracuda zeigen, dass von 750 globalen Unternehmen 72 Prozent im letzten Jahr mindestens einen Sicherheitsverstoß durch eine Anwendungsschwachstelle erlitten haben, wobei sogar fast 40 Prozent von mehr als einem Verstoß berichteten.

Neue Angriffsflächen für Applikationen durch APIs

Immer mehr Unternehmen gehen zu einer „API-First“-Entwicklung über, da APIs die Entwicklung neuer Anwendungsversionen erheblich beschleunigen. Durch die Ausweitung der Sichtbarkeit dieser Anwendungen entsteht jedoch eine ganz neue Angriffsfläche.

Ein Beispiel: Für die Einlösung eines Schecks benötigte früher eine Bank mehrere Tage, um das Ursprungskonto und entsprechende Details zu überprüfen, bis schließlich das Geld auf dem Empfängerkonto eintraf. Heute geschieht der Geldtransfer häufig per Überweisungen über eine Anwendung auf dem Smartphone. Um diese eine Transaktion durchzuführen, ist im Hintergrund eine große Menge IT notwendig und diese muss geschützt werden.

Überprüfung an den B2B-Endpunkten

An der Überprüfung der B2B-Endpunkte sind keine Menschen beteiligt, alles wird über APIs abgewickelt, die eine potenzielle Angriffsfläche darstellen. Denn APIs legen von Natur aus die Anwendungslogik, die Anmeldeinformationen und Token des Benutzers sowie alle Arten von persönlichen Informationen offen, und dies alles mit Cloud-Geschwindigkeit und vom Smartphone des Anwenders aus. Eine API-basierte Anwendung ist wesentlich exponierter als eine herkömmliche webbasierte Anwendung, da sie bewusst eingesetzt wird, um direkten Zugriff auf sensible Daten zu ermöglichen.

Wenn Nutzer beispielsweise durch Facebook scrollen oder den Liveticker zu ihrem Aktienportfolio in ihrer Bank-App checken, interagieren ihre Telefone über APIs mit den Servern in ihren Datenzentren. Während des Scrollens authentifizieren sich diese APIs ständig über große alphanumerische Zeichenfolgen, und dieser Datenverkehr muss in Echtzeit inspiziert und gesichert werden. Hier kann nicht gewartet werden, wie beim obengenannten Scheck-Beispiel, bis etwa ein Ansprechpartner aus der Mittagspause zurückkommt, um zu überprüfen, ob es sich um eine legitime Anfrage handelt.

Schutz für Applikationen und APIs

Unternehmen setzen vermehrt auf APIs, aber es fällt ihnen schwer, in Sachen Sicherheit Schritt zu halten. Cyberkriminelle stehen mit Bots bereit, um auf ungesicherte APIs aufzuspringen, und das rund um die Uhr. Ist ein Angriff erfolgreich, haben Hacker Zugriff auf Kundendaten oder Mitarbeiterinformationen, die sie nach Belieben kompromittieren können. Es gibt viele Beispiele dafür, dass Test-APIs mit direktem Zugriff auf Produktionsdaten ohne jegliche Sicherheitsvorkehrungen eingesetzt werden (wie etwa bei Facebooks Sicherheitsverstoß 2018). Auch wenn der Schutz von APIs eine Herausforderung darstellt, zeigt ein ermutigendes Ergebnis aus der Barracuda-Studie jedoch, dass sich 75 Prozent der befragten Unternehmen der Risiken bewusst sind.

Die Verteidigung von APIs zählt aktuell zu den wichtigsten Sicherheitsüberlegungen. Unternehmen sollten daher eine umfassende, skalierbare und einfach zu implementierende Plattform in Betracht ziehen, um ihre Anwendungen zu schützen, wo auch immer sie sich befinden. Eine Web Application Firewall (WAF) mit Active Threat Intelligence ist die am besten verwaltbare Lösung, um Anwendungen und damit auch APIs vor den oben genannten Bedrohungen zu schützen. Die Verteidigung gegen Zero-Day-Bedrohungen, Bots, DDoS-Angriffe, eine Kompromittierung der Lieferkette, Credential Stuffing sowie die Implementierung einer clientseitigen Security und der Schutz vor böswilligen Insidern sollten bei Unternehmen auf der Agenda stehen, um Sicherheitsverletzungen durch Anwendungsschwachstellen zu vermeiden.

Mehr bei Barracuda.com

 

[starbox id=5]

 

Passende Artikel zum Thema

Drahtlose Sicherheit für OT- und IoT-Umgebungen

Drahtlose Geräte nehmen immer mehr zu. Dadurch erhöhen sich die Zugangspunkte über die Angreifer in Netzwerke eindringen können. Ein neuer ➡ Weiterlesen

Professionelle Cybersicherheit für KMU

Managed Detection und Response (MDR) für KMU 24/7 an 365 Tagen im Jahr.  Der IT-Sicherheitshersteller ESET hat sein Angebot um ➡ Weiterlesen

Bösartige Software am Starten hindern

Ein Cyberschutz-Anbieter hat seine Sicherheitsplattform um eine neue Funktion erweitert. Sie verbessert die Cybersicherheit indem sie den Start bösartiger oder ➡ Weiterlesen

Pikabot: tarnen und täuschen

Pikabot ist ein hochentwickelter und modularer Backdoor-Trojaner, der Anfang 2023 erstmals aufgetaucht ist. Seine bemerkenswerteste Eigenschaft liegt in der Fähigkeit ➡ Weiterlesen

Ransomware-resistente WORM-Archive zur Datensicherung 

Ein Datenarchiv ist ein Muss für jedes Unternehmen. Nur wenige wissen: Ein aktives WORM-Archiv kann helfen, die Datensicherung zu verschlanken, ➡ Weiterlesen

Gefahr der Manipulation von Wahlen durch Cyberangriffe

Cyberangreifer versuchen, weltweit Wahlen zu beeinflussen und machen sich dabei Generative KI-Technologie zunutze. Die neuesten Ergebnisse des Global Threat Report ➡ Weiterlesen

Bedrohungen erkennen und abwehren

In der heutigen, durch Digitalisierung geprägten Unternehmenslandschaft erfordert der Kampf gegen Bedrohungen einen kontinuierlichen, proaktiven und ganzheitlichen Ansatz. Open Extended ➡ Weiterlesen

Backup für Microsoft 365 – neue Erweiterung

Eine einfache und flexible Backup-as-a-Service-(BaaS)-Lösung erweitert Datensicherungs- und Ransomware Recovery-Funktionalitäten für Microsoft 365. Dadurch verkürzen sich die Ausfallszeiten bei einem ➡ Weiterlesen