Neuen Angriffsflächen durch APIs begegnen

Neuen Angriffsflächen durch APIs begegnen

Beitrag teilen

Application Security: Neuen Angriffsflächen durch APIs begegnen. Um Anwendungen angemessen schützen zu können ist für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Anwendungen befinden sich heute in den unterschiedlichsten IT-Umgebungen, vom Rechenzentrum bis zum Smartphone, und ihre Zahl steigt unaufhaltsam. Auch hat die verstärkte Remote-Arbeit dazu geführt, dass immer mehr Applikationen in die Cloud ausgelagert werden müssen. Hierdurch haben sich potenzielle Risiken hinsichtlich der Applikationssicherheit noch vergrößert. Um ihre Anwendungen angemessen schützen zu können, ist deshalb für Unternehmen das Verständnis der verschiedenen Bedrohungsvektoren essentiell.

Anzeige

Bots als Bedrohungsquelle

Bots sind zweifelsohne seit langem eine Bedrohungsquelle für Anwendungen und stehen mittlerweile an der Spitze der Liste erfolgreicher Angriffsmethoden. Da zudem viele Verstöße durch menschliches Versagen verursacht werden, ist es wichtiger denn je, dafür zu sorgen, dass keine Lücken in der Verteidigung offengelassen werden. Jedoch sollten sich Security-Teams nicht nur auf Bots konzentrieren. Auch Zero-Day-Bedrohungen, Schwachstellen in Webanwendungen, die Software-Lieferkette und APIs (Application Programming Interfaces) sind relevante Bereiche, denen Sicherheitsexperten ebenso viel Aufmerksamkeit widmen sollten.

Jüngste Forschungsdaten von Barracuda zeigen, dass von 750 globalen Unternehmen 72 Prozent im letzten Jahr mindestens einen Sicherheitsverstoß durch eine Anwendungsschwachstelle erlitten haben, wobei sogar fast 40 Prozent von mehr als einem Verstoß berichteten.

Neue Angriffsflächen für Applikationen durch APIs

Immer mehr Unternehmen gehen zu einer „API-First“-Entwicklung über, da APIs die Entwicklung neuer Anwendungsversionen erheblich beschleunigen. Durch die Ausweitung der Sichtbarkeit dieser Anwendungen entsteht jedoch eine ganz neue Angriffsfläche.

Ein Beispiel: Für die Einlösung eines Schecks benötigte früher eine Bank mehrere Tage, um das Ursprungskonto und entsprechende Details zu überprüfen, bis schließlich das Geld auf dem Empfängerkonto eintraf. Heute geschieht der Geldtransfer häufig per Überweisungen über eine Anwendung auf dem Smartphone. Um diese eine Transaktion durchzuführen, ist im Hintergrund eine große Menge IT notwendig und diese muss geschützt werden.

Überprüfung an den B2B-Endpunkten

An der Überprüfung der B2B-Endpunkte sind keine Menschen beteiligt, alles wird über APIs abgewickelt, die eine potenzielle Angriffsfläche darstellen. Denn APIs legen von Natur aus die Anwendungslogik, die Anmeldeinformationen und Token des Benutzers sowie alle Arten von persönlichen Informationen offen, und dies alles mit Cloud-Geschwindigkeit und vom Smartphone des Anwenders aus. Eine API-basierte Anwendung ist wesentlich exponierter als eine herkömmliche webbasierte Anwendung, da sie bewusst eingesetzt wird, um direkten Zugriff auf sensible Daten zu ermöglichen.

Wenn Nutzer beispielsweise durch Facebook scrollen oder den Liveticker zu ihrem Aktienportfolio in ihrer Bank-App checken, interagieren ihre Telefone über APIs mit den Servern in ihren Datenzentren. Während des Scrollens authentifizieren sich diese APIs ständig über große alphanumerische Zeichenfolgen, und dieser Datenverkehr muss in Echtzeit inspiziert und gesichert werden. Hier kann nicht gewartet werden, wie beim obengenannten Scheck-Beispiel, bis etwa ein Ansprechpartner aus der Mittagspause zurückkommt, um zu überprüfen, ob es sich um eine legitime Anfrage handelt.

Schutz für Applikationen und APIs

Unternehmen setzen vermehrt auf APIs, aber es fällt ihnen schwer, in Sachen Sicherheit Schritt zu halten. Cyberkriminelle stehen mit Bots bereit, um auf ungesicherte APIs aufzuspringen, und das rund um die Uhr. Ist ein Angriff erfolgreich, haben Hacker Zugriff auf Kundendaten oder Mitarbeiterinformationen, die sie nach Belieben kompromittieren können. Es gibt viele Beispiele dafür, dass Test-APIs mit direktem Zugriff auf Produktionsdaten ohne jegliche Sicherheitsvorkehrungen eingesetzt werden (wie etwa bei Facebooks Sicherheitsverstoß 2018). Auch wenn der Schutz von APIs eine Herausforderung darstellt, zeigt ein ermutigendes Ergebnis aus der Barracuda-Studie jedoch, dass sich 75 Prozent der befragten Unternehmen der Risiken bewusst sind.

Die Verteidigung von APIs zählt aktuell zu den wichtigsten Sicherheitsüberlegungen. Unternehmen sollten daher eine umfassende, skalierbare und einfach zu implementierende Plattform in Betracht ziehen, um ihre Anwendungen zu schützen, wo auch immer sie sich befinden. Eine Web Application Firewall (WAF) mit Active Threat Intelligence ist die am besten verwaltbare Lösung, um Anwendungen und damit auch APIs vor den oben genannten Bedrohungen zu schützen. Die Verteidigung gegen Zero-Day-Bedrohungen, Bots, DDoS-Angriffe, eine Kompromittierung der Lieferkette, Credential Stuffing sowie die Implementierung einer clientseitigen Security und der Schutz vor böswilligen Insidern sollten bei Unternehmen auf der Agenda stehen, um Sicherheitsverletzungen durch Anwendungsschwachstellen zu vermeiden.

Mehr bei Barracuda.com

 

[starbox id=5]

 

Passende Artikel zum Thema

Modulare Speicherlösung für hohe Sicherheitsanforderungen

Die hochmoderne Speicherlösung Silent Brick Pro wurde speziell für Unternehmen entwickelt die Daten effizient, schnell und besonders sicher speichern wollen. ➡ Weiterlesen

Veraltete Benutzernamen und Passwörter weit verbreitet

In einer Zeit der Verunsicherung durch KI und der Zunahme von Cybersecurity-Verstößen hat ein Anbieter von Sicherheitsschlüsseln für die Hardware-Authentifizierung ➡ Weiterlesen

Mit Passphrasen mobile Androidgeräte schützen

Passphrasen sind länger und komplexer als einfache Passwörter. Mithilfe eines Passphrasen-Generators lassen sie sich einfach erstellen. Ein führender Anbieter von ➡ Weiterlesen

Sicherheitsfunktionen automatisieren verringert Risiken

Ein Anbieter von Converged Endpoint Management (XEM) bietet eine neue Lösung an, mit der Unternehmen ihre Sicherheits- und IT-Betriebsaufgaben in ➡ Weiterlesen

Staatlich geförderte Cyberangriffe gegen kritische Infrastruktur

Staatlich geförderte Cyberangriffe entwickeln sich zu einer immer größeren Bedrohung, da digitale Systeme unverzichtbar für Regierungen, Unternehmen und kritische Infrastrukturen ➡ Weiterlesen

Phishing: Cyberkriminelle imitieren Zahlungsdienst Zelle

Immer öfter werden Finanzdienstleister Opfer von Third-Party-Phishing-Kampagnen. Neu betroffen ist der Zahlungsdienst Zelle. Kriminelle erbeuten persönliche Daten, indem sie ihre ➡ Weiterlesen

End-to-End-Framework schützt vor Datenverlusten

Proofpoint und zertifizierte Partner stellen ihren Kunden ein NIST-orientiertes End-to-End-Framework vor, das bei der Entwicklung, Implementierung und Optimierung von Data ➡ Weiterlesen

Schwachstellen beim Schutz von SaaS-Daten

Es sollte nicht überraschen, dass sich Unternehmen in der heutigen digitalen Landschaft mehr denn je auf Software-as-a-Service (SaaS)-Anwendungen verlassen, um ➡ Weiterlesen