Tierney - stock.adobe.com

Wie Unternehmen für mehr API-Sicherheit sorgen

Programmierschnittstellen, kurz APIs, sind das Rückgrat des Internets. Es ist Aufgabe von IT-Sicherheitsexperten, öffentlich zugänglichen Schnittstellen zu schützen.

Programmierschnittstellen bilden das Rückgrat des Internets. Sie sind eine schnelle und einfache Möglichkeit für Anwendungen, Daten im Hintergrund abzurufen oder andere Applikationen mit der Ausführung von Aufgaben zu beauftragen.

Application Programming Interfaces – kurz API – sorgen beispielsweise bei Cloudflare für rund 58 Prozent des Traffics. So praktisch und wichtig APIs sind, so anfällig sind sie für Missbrauch. Denn viele Firmen haben kein klares Bild von ihrem API-Bestand – selbst wenn sie glauben, API-Traffic korrekt identifizieren zu können.

2022 etwa machten Schwachstellen bei der API-Authentifizierung und -Autorisierung es möglich, dass ein Krimineller 10 Millionen erbeutete Nutzerdatensätze der Firma Optus zum Verkauf anbieten konnte. US-Behörden haben bereits vor solchen API-bezogenen Angriffen gewarnt. Um effizienter zu arbeiten, erstellen Entwickler in Unternehmen oft APIs, die mit dem Internet verbunden sind und von ihren eigenen Anwendungen genutzt werden.

Doch es ist Aufgabe der IT-Sicherheit, diese öffentlich zugänglichen Schnittstellen zu schützen. Wenn nicht eindeutig geregelt ist, wie APIs dokumentiert werden und wie man die IT-Sicherheitsabteilung über ihre Existenz informiert, entstehen sogenannte Schatten-APIs. Diese sind zwar in der Produktivumgebung im Einsatz, allerdings ohne Wissen des Unternehmens. Das kann sich zu einem Sicherheitsproblem entwickeln.

Effektive Sicherheitsmaßnahmen: Erkennung und Verwaltung

Um dem zu begegnen, ist es sinnvoll eine API-Erkennung zu nutzen. Die integrierte API-Verwaltung beinhaltet das Anlegen einer umfassenden, genauen Aufstellung aller APIs. Dafür wird eine Kombination aus Machine Learning, API-Erkennung und Prüfung des Netzwerk-Traffics genutzt. Das ist ein wesentlicher Bestandteil für API-Gateways, mit denen Unternehmen ihre Internet-Endpunkte verwalten und den API-Status überwachen können. Außerdem erlaubt ein solcher Dienst, API-Traffic anhand von Sitzungsmerkmalen (in der Regel ein Header oder Cookie) zu identifizieren und sich so einen besseren Überblick zu verschaffen.

Bei der Analyse unserer Kundendaten sind wir auf beunruhigende Befunde gestoßen. Im Vergleich der sitzungsbasierten API-Erkennung mit unserer auf maschinellem Lernen beruhenden API-Erkennung (im Rahmen derer der gesamte eingehende Traffic analysiert wird) ergibt sich, dass letztere im Durchschnitt 30,7 Prozent mehr Endpunkte aufdeckt. Ohne eine umfassende Analyse des Datenverkehrs bleibt also unter Umständen fast ein Drittel des API-Bestands im Verborgenen.

An dieser Stelle ist es wichtig festzuhalten, dass Schatten-APIs nicht grundsätzlich böswillig sind. Sie stellen dennoch ein hohes Risiko dar, denn die IT- und Sicherheitsabteilungen eines Unternehmens sind für die Durchsetzung und Verbesserung der API-Sicherheitsstandards verantwortlich – sie können aber nur die APIs und Endpunkte schützen, die sie sehen können. Wenn es eine Abhängigkeit gibt, von der diese Abteilungen nichts wissen, können sie die potenzielle Offenlegung von Daten nicht nachverfolgen, die Compliance nicht sicherstellen und Angriffe nicht abwehren. Deshalb ist es dringend geraten, mit einer umfassenden Aufstellung der APIs im Unternehmensnetzwerk zu beginnen.

Stefan Henke, Cloudflare

„ So praktisch und wichtig APIs sind, so anfällig sind sie für Missbrauch. Denn viele Firmen haben kein klares Bild von ihrem API-Bestand – selbst wenn sie glauben, API-Traffic korrekt identifizieren zu können.“

Stefan Henke, Cloudflare

APIs werden in der Regel in einem standardisierten Format namens OpenAPI katalogisiert und viele Entwicklungs-Tools können Schema-Dateien im OpenAPI-Format erstellen. Unternehmen können selbst mit der Erfassung Ihrer APIs anfangen, wenn sie über Dateien mit diesem Format verfügen, indem Sie diese Schemata sammeln. Wenn es darum geht, Missbrauch zu unterbinden, denken die meisten Fachleute zuerst an Durchsatzbegrenzung. Die Implementierung von Grenzwerten für Ihre APIs ist ein wertvolles Instrument, um Missbrauch einzudämmen und eine versehentliche Überlastung des Ursprungsservers zu verhindern. Die Ansätze können variieren, aber im Allgemeinen hängen sie vom gewählten Fehlercode und der Grundlage für den Grenzwert selbst ab.

Angriffsmuster und Gefahrenabwehr

APIs sind nicht immun gegen normale Angriffe nach Art der OWASP Top 10 wie SQL-Injection. Der Text von API-Anfragen kann auch als Datenbankeingabe verwendet werden, genau wie eine Formulareingabe oder ein URL-Argument auf einer Webseite. Deshalb sollte unbedingt sichergestellt sein, dass eine Web Application Firewall (WAF) auch den API-Datenverkehr schützt, um diese Arten von Attacken abzufangen. Eine Untersuchung der Managed Rules der Cloudflare-WAF hat ergeben, dass Injection-Angriffe der zweithäufigste Bedrohungsvektor bei APIs waren. An erster Stelle standen HTTP-Anomalien.

Ein Patentrezept für eine ganzheitliche API-Sicherheit gibt es nicht. Hier sind drei Strategien zur Verbesserung der API-Sicherheit:

  1. Einführung einer gemeinsamen Steuerungsebene aller vorhandenen APIs. Hier werden die Entwicklung, Sichtbarmachung, Performance und Sicherheit von API-Anwendungen zusammengeführt.
  2. Verwenden von Sicherheitswerkzeugen, die maschinelles Lernen nutzen, um personelle Ressourcen freizusetzen und Kosten zu senken.
  3. Einführung eines positiven Sicherheitsmodells für die API.

Was versteht man unter einem positiven oder negativen Sicherheitsmodell? Bei einem negativen Modell suchen Sicherheits-Tools nach bekannten Anzeichen für Angriffe und ergreifen Maßnahmen, um diese zu stoppen. Bei einem positiven Modell suchen die Sicherheits-Tools nach bekanntermaßen gutartigen Anfragen und lassen nur diese zu, während alle anderen blockiert werden. APIs sind oft so aufgebaut, dass positive Sicherheitsmodelle sinnvoll sind, wenn man das höchstmögliche Sicherheitsniveau gewährleisten möchte. Es lassen sich auch Sicherheitsmodelle miteinander kombinieren, beispielsweise eine WAF im Sinne eines negativen Modells und eine API-Schema-Validierung im Sinne eines positiven Modells.

Steigende Komplexität der API-Sicherheit

Immer mehr Web- und Mobilgeräte-Anwendungen setzen APIs ein, die alles von der Authentifizierung über Transaktionen bis hin zur Bereitstellung von Mediendateien ermöglichen. Als Folge der wachsenden Verbreitung dieser Anwendungen steigt auch das Volumen des API-Traffics. Diese Entwicklung wird dafür sorgen, dass API-Risken weiterhin zunehmen und sich in ihrer Komplexität verändern. Ein wesentlicher Grund hierfür ist die größere Verfügbarkeit von generativer KI. Sicherheitsmängel bei Programmierschnittstellen können beispielsweise auftreten, wenn fehlerhafter, von einer KI verfasster Code eingeführt wird. Allerhöchste Zeil also, Licht auf die Schatten-API zu werfen.

Über den Autor:
Stefan Henke ist RVP DACH bei Cloudflare.

 

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Business-Software