Neuen Angriffsflächen durch APIs begegnen

Neuen Angriffsflächen durch APIs begegnen
Anzeige

Beitrag teilen

Application Security: Neuen Angriffsflächen durch APIs begegnen. Um Anwendungen angemessen schützen zu können ist für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Anwendungen befinden sich heute in den unterschiedlichsten IT-Umgebungen, vom Rechenzentrum bis zum Smartphone, und ihre Zahl steigt unaufhaltsam. Auch hat die verstärkte Remote-Arbeit dazu geführt, dass immer mehr Applikationen in die Cloud ausgelagert werden müssen. Hierdurch haben sich potenzielle Risiken hinsichtlich der Applikationssicherheit noch vergrößert. Um ihre Anwendungen angemessen schützen zu können, ist deshalb für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Anzeige

Bots als Bedrohungsquelle

Bots sind zweifelsohne seit langem eine Bedrohungsquelle für Anwendungen und stehen mittlerweile an der Spitze der Liste erfolgreicher Angriffsmethoden. Da zudem viele Verstöße durch menschliches Versagen verursacht werden, ist es wichtiger denn je, dafür zu sorgen, dass keine Lücken in der Verteidigung offengelassen werden. Jedoch sollten sich Security-Teams nicht nur auf Bots konzentrieren. Auch Zero-Day-Bedrohungen, Schwachstellen in Webanwendungen, die Software-Lieferkette und APIs (Application Programming Interfaces) sind relevante Bereiche, denen Sicherheitsexperten ebenso viel Aufmerksamkeit widmen sollten.

Jüngste Forschungsdaten von Barracuda zeigen, dass von 750 globalen Unternehmen 72 Prozent im letzten Jahr mindestens einen Sicherheitsverstoß durch eine Anwendungsschwachstelle erlitten haben, wobei sogar fast 40 Prozent von mehr als einem Verstoß berichteten.

Anzeige

Neue Angriffsflächen für Applikationen durch APIs

Immer mehr Unternehmen gehen zu einer „API-First“-Entwicklung über, da APIs die Entwicklung neuer Anwendungsversionen erheblich beschleunigen. Durch die Ausweitung der Sichtbarkeit dieser Anwendungen entsteht jedoch eine ganz neue Angriffsfläche.

Ein Beispiel: Für die Einlösung eines Schecks benötigte früher eine Bank mehrere Tage, um das Ursprungskonto und entsprechende Details zu überprüfen, bis schließlich das Geld auf dem Empfängerkonto eintraf. Heute geschieht der Geldtransfer häufig per Überweisungen über eine Anwendung auf dem Smartphone. Um diese eine Transaktion durchzuführen, ist im Hintergrund eine große Menge IT notwendig und diese muss geschützt werden.

Überprüfung an den B2B-Endpunkten

An der Überprüfung der B2B-Endpunkte sind keine Menschen beteiligt, alles wird über APIs abgewickelt, die eine potenzielle Angriffsfläche darstellen. Denn APIs legen von Natur aus die Anwendungslogik, die Anmeldeinformationen und Token des Benutzers sowie alle Arten von persönlichen Informationen offen, und dies alles mit Cloud-Geschwindigkeit und vom Smartphone des Anwenders aus. Eine API-basierte Anwendung ist wesentlich exponierter als eine herkömmliche webbasierte Anwendung, da sie bewusst eingesetzt wird, um direkten Zugriff auf sensible Daten zu ermöglichen.

Wenn Nutzer beispielsweise durch Facebook scrollen oder den Liveticker zu ihrem Aktienportfolio in ihrer Bank-App checken, interagieren ihre Telefone über APIs mit den Servern in ihren Datenzentren. Während des Scrollens authentifizieren sich diese APIs ständig über große alphanumerische Zeichenfolgen, und dieser Datenverkehr muss in Echtzeit inspiziert und gesichert werden. Hier kann nicht gewartet werden, wie beim obengenannten Scheck-Beispiel, bis etwa ein Ansprechpartner aus der Mittagspause zurückkommt, um zu überprüfen, ob es sich um eine legitime Anfrage handelt.

Schutz für Applikationen und APIs

Unternehmen setzen vermehrt auf APIs, aber es fällt ihnen schwer, in Sachen Sicherheit Schritt zu halten. Cyberkriminelle stehen mit Bots bereit, um auf ungesicherte APIs aufzuspringen, und das rund um die Uhr. Ist ein Angriff erfolgreich, haben Hacker Zugriff auf Kundendaten oder Mitarbeiterinformationen, die sie nach Belieben kompromittieren können. Es gibt viele Beispiele dafür, dass Test-APIs mit direktem Zugriff auf Produktionsdaten ohne jegliche Sicherheitsvorkehrungen eingesetzt werden (wie etwa bei Facebooks Sicherheitsverstoß 2018). Auch wenn der Schutz von APIs eine Herausforderung darstellt, zeigt ein ermutigendes Ergebnis aus der Barracuda-Studie jedoch, dass sich 75 Prozent der befragten Unternehmen der Risiken bewusst sind.

Die Verteidigung von APIs zählt aktuell zu den wichtigsten Sicherheitsüberlegungen. Unternehmen sollten daher eine umfassende, skalierbare und einfach zu implementierende Plattform in Betracht ziehen, um ihre Anwendungen zu schützen, wo auch immer sie sich befinden. Eine Web Application Firewall (WAF) mit Active Threat Intelligence ist die am besten verwaltbare Lösung, um Anwendungen und damit auch APIs vor den oben genannten Bedrohungen zu schützen. Die Verteidigung gegen Zero-Day-Bedrohungen, Bots, DDoS-Angriffe, eine Kompromittierung der Lieferkette, Credential Stuffing sowie die Implementierung einer clientseitigen Security und der Schutz vor böswilligen Insidern sollten bei Unternehmen auf der Agenda stehen, um Sicherheitsverletzungen durch Anwendungsschwachstellen zu vermeiden.

Mehr bei Barracuda.com

 

Klaus Gheri

 

Passende Artikel zum Thema

SASE-Plattform zum Schutz hybrider Cloud-Umgebungen

Barracuda erweitert seine Cloud-native SASE-Plattform zum Schutz hybrider Cloud-Umgebungen. Angebot jetzt auch für industrielle IIoT-Umgebungen verfügbar. Neue Funktionen für hybride Cloud-Implementierungen ➡ Weiterlesen

IIoT im Hacker-Fokus: IT- und OT-Security sicher verbinden

Automatisierung und Digitalisierung betrieblicher Abläufe bringen mittelständischen Unternehmen viele Vorteile, etwa bei der Produktionsflexibilität oder Preisgestaltung für den Markt. Doch ➡ Weiterlesen

Spear Phishing: Top-Bedrohungen und Trends

Kleine Unternehmen sind dreimal häufiger Ziel von Angriffen als größere Organisationen. Barracuda veröffentlicht siebten Spear-Phishing-Report: Microsoft ist der am häufigsten imitierte ➡ Weiterlesen

SASE Netzwerk: Security und die Cloud verbinden

Ein zentralisierter Ansatz in der Cloud hat ebenso viele Limitierungen wie ein lokales Rechenzentrum. Aber man kann auch ein SASE ➡ Weiterlesen

Omikron boostert Angriffe auf E-Mail-Konten

Ebenso lang wie die Menschen im Allgemeinen mit der Corona-Pandemie kämpfen, sehen sich Unternehmen Corona-bezogenen Angriffe von Cyberkriminellen auf die ➡ Weiterlesen

Was kommt 2022 an Cybersicherheit und Technologie?

Kritische Infrastrukturen werden auch im Jahr 2022 mit erheblichen Herausforderungen in puncto Cybersicherheit konfrontiert sein. Denn die andauernde Pandemiesituation zeigt, ➡ Weiterlesen

Log4j-Alarm: das empfehlen IT-Security-Experten 

IT-Security-Experten äußern sich zur log4j-Sicherheitslücke für die das BSI die Warnstufe Rot ausgerufen hat. Experten von Barracuda Networks,  Radar Cyber ➡ Weiterlesen

Wie Hacker ihre Phishingnetze auswerfen

Bei Köderangriffen, auch als Aufklärungsangriffe bezeichnet, handelt es sich in der Regel um E-Mails mit sehr kurzem oder leerem Inhalt. ➡ Weiterlesen