Neuen Angriffsflächen durch APIs begegnen

Neuen Angriffsflächen durch APIs begegnen

Beitrag teilen

Application Security: Neuen Angriffsflächen durch APIs begegnen. Um Anwendungen angemessen schützen zu können ist für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Anwendungen befinden sich heute in den unterschiedlichsten IT-Umgebungen, vom Rechenzentrum bis zum Smartphone, und ihre Zahl steigt unaufhaltsam. Auch hat die verstärkte Remote-Arbeit dazu geführt, dass immer mehr Applikationen in die Cloud ausgelagert werden müssen. Hierdurch haben sich potenzielle Risiken hinsichtlich der Applikationssicherheit noch vergrößert. Um ihre Anwendungen angemessen schützen zu können, ist deshalb für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Bots als Bedrohungsquelle

Bots sind zweifelsohne seit langem eine Bedrohungsquelle für Anwendungen und stehen mittlerweile an der Spitze der Liste erfolgreicher Angriffsmethoden. Da zudem viele Verstöße durch menschliches Versagen verursacht werden, ist es wichtiger denn je, dafür zu sorgen, dass keine Lücken in der Verteidigung offengelassen werden. Jedoch sollten sich Security-Teams nicht nur auf Bots konzentrieren. Auch Zero-Day-Bedrohungen, Schwachstellen in Webanwendungen, die Software-Lieferkette und APIs (Application Programming Interfaces) sind relevante Bereiche, denen Sicherheitsexperten ebenso viel Aufmerksamkeit widmen sollten.

Jüngste Forschungsdaten von Barracuda zeigen, dass von 750 globalen Unternehmen 72 Prozent im letzten Jahr mindestens einen Sicherheitsverstoß durch eine Anwendungsschwachstelle erlitten haben, wobei sogar fast 40 Prozent von mehr als einem Verstoß berichteten.

Neue Angriffsflächen für Applikationen durch APIs

Immer mehr Unternehmen gehen zu einer „API-First“-Entwicklung über, da APIs die Entwicklung neuer Anwendungsversionen erheblich beschleunigen. Durch die Ausweitung der Sichtbarkeit dieser Anwendungen entsteht jedoch eine ganz neue Angriffsfläche.

Ein Beispiel: Für die Einlösung eines Schecks benötigte früher eine Bank mehrere Tage, um das Ursprungskonto und entsprechende Details zu überprüfen, bis schließlich das Geld auf dem Empfängerkonto eintraf. Heute geschieht der Geldtransfer häufig per Überweisungen über eine Anwendung auf dem Smartphone. Um diese eine Transaktion durchzuführen, ist im Hintergrund eine große Menge IT notwendig und diese muss geschützt werden.

Überprüfung an den B2B-Endpunkten

An der Überprüfung der B2B-Endpunkte sind keine Menschen beteiligt, alles wird über APIs abgewickelt, die eine potenzielle Angriffsfläche darstellen. Denn APIs legen von Natur aus die Anwendungslogik, die Anmeldeinformationen und Token des Benutzers sowie alle Arten von persönlichen Informationen offen, und dies alles mit Cloud-Geschwindigkeit und vom Smartphone des Anwenders aus. Eine API-basierte Anwendung ist wesentlich exponierter als eine herkömmliche webbasierte Anwendung, da sie bewusst eingesetzt wird, um direkten Zugriff auf sensible Daten zu ermöglichen.

Wenn Nutzer beispielsweise durch Facebook scrollen oder den Liveticker zu ihrem Aktienportfolio in ihrer Bank-App checken, interagieren ihre Telefone über APIs mit den Servern in ihren Datenzentren. Während des Scrollens authentifizieren sich diese APIs ständig über große alphanumerische Zeichenfolgen, und dieser Datenverkehr muss in Echtzeit inspiziert und gesichert werden. Hier kann nicht gewartet werden, wie beim obengenannten Scheck-Beispiel, bis etwa ein Ansprechpartner aus der Mittagspause zurückkommt, um zu überprüfen, ob es sich um eine legitime Anfrage handelt.

Schutz für Applikationen und APIs

Unternehmen setzen vermehrt auf APIs, aber es fällt ihnen schwer, in Sachen Sicherheit Schritt zu halten. Cyberkriminelle stehen mit Bots bereit, um auf ungesicherte APIs aufzuspringen, und das rund um die Uhr. Ist ein Angriff erfolgreich, haben Hacker Zugriff auf Kundendaten oder Mitarbeiterinformationen, die sie nach Belieben kompromittieren können. Es gibt viele Beispiele dafür, dass Test-APIs mit direktem Zugriff auf Produktionsdaten ohne jegliche Sicherheitsvorkehrungen eingesetzt werden (wie etwa bei Facebooks Sicherheitsverstoß 2018). Auch wenn der Schutz von APIs eine Herausforderung darstellt, zeigt ein ermutigendes Ergebnis aus der Barracuda-Studie jedoch, dass sich 75 Prozent der befragten Unternehmen der Risiken bewusst sind.

Die Verteidigung von APIs zählt aktuell zu den wichtigsten Sicherheitsüberlegungen. Unternehmen sollten daher eine umfassende, skalierbare und einfach zu implementierende Plattform in Betracht ziehen, um ihre Anwendungen zu schützen, wo auch immer sie sich befinden. Eine Web Application Firewall (WAF) mit Active Threat Intelligence ist die am besten verwaltbare Lösung, um Anwendungen und damit auch APIs vor den oben genannten Bedrohungen zu schützen. Die Verteidigung gegen Zero-Day-Bedrohungen, Bots, DDoS-Angriffe, eine Kompromittierung der Lieferkette, Credential Stuffing sowie die Implementierung einer clientseitigen Security und der Schutz vor böswilligen Insidern sollten bei Unternehmen auf der Agenda stehen, um Sicherheitsverletzungen durch Anwendungsschwachstellen zu vermeiden.

Mehr bei Barracuda.com

 

[starbox id=5]

 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen

BKA Cybercrime Report 2022: Schäden von 200 Mrd. Euro 

Das vor kurzem veröffentlichte Bundeslagebild Cybercrime 2022 des BKA zeigt wieder teils erschütternde Fakten. Zwar waren die registrierten Fälle rückläufig, ➡ Weiterlesen