Was ist API-Sicherheit?
            

Beim Thema API-Sicherheit geht es um den Schutz Ihrer APIs mithilfe von Sicherheitstests, Sicherheitsrichtlinien, bewährten Sicherheitsverfahren und mehr. Es spielt keine Rolle, ob Ihre API öffentlich zugänglich ist, nur mit Ihren Partnern geteilt wird oder ausschliesslich intern genutzt wird. Alle APIs müssen sicher verwaltet werden, um Ihre Daten und anderen Ressourcen vor Angriffen zu schützen. Vom Entwickler bis zum CEO muss sich jeder seiner Rolle bei der Sicherung von APIs bewusst sein, um zu gewährleisten, dass Ihre API-Sicherheitsstrategie erfolgreich umgesetzt werden kann.

Was ist ein API?

Anwendungsprogrammierschnittstellen (APIs) sind allgegenwärtig, und die API-Sicherheit hat für fast alle Unternehmen höchste Priorität. Über APIs kommunizieren nicht-menschliche Systeme (oder Anwendungen) miteinander. Die gebräuchlichsten API-Clients sind mobile Anwendungen, aber die Liste umfasst auch Dinge, die jeder im täglichen Leben benutzt, darunter Kameras, Telefone, Computer, Thermostate, Kühlschränke, Autos und vieles mehr!

 

Seitdem es APIs auf dem Markt gibt, versuchen einige Personen und Gruppen, diese zu missbrauchen. API-Sicherheit gibt es schon seit langem, aber in den letzten Jahren ist das Thema verstärkt in den Vordergrund gerückt. Vor einigen Jahren hatte Gartner vorausgesagt, dass API-Missbrauch bis 2022 vom seltenen zum häufigsten Angriffspunkt wird. Der Anstieg der Zahl der APIs, aber auch der exponentielle Anstieg der API-Nutzung hat diese Vorhersage für Unternehmen auf der ganzen Welt noch relevanter gemacht. Laut einer neueren Gartner-Umfrage unter CIOs und technischen Führungskräften stehen Cyber- und Informationssicherheit ganz oben auf der Liste der geplanten Investitionen im Jahr 2022. Dies ist nicht überraschend, da die Unternehmensleiter den Druck spüren, Budget und Ressourcen in die Cybersicherheit zu stecken, um ihre APIs, Daten, Kunden und den Ruf ihrer Unternehmen zu schützen.

Warum ist API-Sicherheit wichtig?

Das exponentielle Wachstum von APIs und deren Nutzung hat viele Systeme ungewollt zum Ziel von Hackern und Datenmissbrauch gemacht. API-Management war früher etwas, das nur die "Großen" brauchten, aber jetzt ist der Bedarf an Sicherheitsrichtlinien, die von API-Gateways und anderen Programmen auferlegt werden, eine Notwendigkeit für alle geworden. Durch die Sicherung der exponierten Schichten einer API mithilfe von API-Sicherheitslösungen und bewährten Verfahren für das API-Management können Sie Angriffe abwehren und Ihr Unternehmen, Ihre Kunden, Ihre Daten und Ihren Gewinn schützen. Eine Organisation, von der Sie vielleicht schon gehört haben und die Sie berücksichtigen sollten, ist OWASP.

Was sind die OWASP-Top-Ten?

OWASP, das Open Web Application Security Project, ist eine internationale Non-Profit-Organisation, die sich der Sicherheit von Webanwendungen widmet. Am bekanntesten ist die Organisation wahrscheinlich für ihre wiederkehrende Top-10-Liste der Web-Schwachstellen. Aber zusätzlich zu ihren Listen von Web-Schwachstellen haben sie auch eine Top-10-Liste für API-Sicherheit herausgebracht. Dies sind wichtige Faktoren, die bei der Entwicklung einer API-Sicherheitsstrategie für Ihr Unternehmen zu berücksichtigen sind.

Die aktuelle OWASP Top-10-Liste für API-Sicherheit umfasst:

Dies ist der Fall, wenn ein Angreifer die ID in einem API-Aufruf durch eine andere ID ersetzt und so Zugriff auf Daten erhält, auf die er eigentlich keinen Zugriff haben sollte. Ein Beispiel hierfür ist das Ersetzen von /api/bank/account/123 durch /api/bank/account/124. Alle Ressourcen müssen Berechtigungsprüfungen durchführen, bevor sie Zugriff gewähren. Die Verwendung eines API-Gateways (z. B. webMethods API Gateway) kann eine hochgradig granulare Zugriffskontrolle bieten, die notwendig ist, um Probleme bei der Zugriffskontrolle zu vermeiden. webMethods ermöglicht es Ihnen auch, den Zugriff auf Ressourcen und Methoden über Richtliniendefinitionen auf Bereichsebene zu steuern.

Bei APIs, die keine sichere Authentifizierung verwenden, besteht die Gefahr, dass Angreifer ihr System mit diesem Exploit kompromittieren. Ein API-Gateway bietet zahlreiche Authentifizierungsverfahren, mit denen Sie das Risiko für Ihre APIs mindern können.

  • OpenID
  • Kerberos
  • OAUTH
  • JWT
  • SAML
  • Ausgehende Authentifizierung für Transport und Nachrichten
  • Benutzerdefinierte Angaben
Häufig veröffentlicht eine API mehr Daten als über den UI-Client angezeigt werden. Es ist wichtig, die Daten, die über die API veröffentlicht werden, zu bereinigen und zu filtern, da sie mit anderen Methoden angezeigt werden können. Ein API-Gateway kann Datenumwandlungs- und Datenmaskierungsfunktionen auf Ihre APIs anwenden.
Ohne angemessene Beschränkungen des Ressourcenzugriffs kann ein Angreifer Ihr API-System leicht überlasten. Mit Funktionen wie Ratenbegrenzung, Drosselung und anderen Richtlinien zum Schutz vor Bedrohungen in einem API-Gateway (z. B. webMethods API Gateway) können Sie DoS-Versuche blockieren, große Nutzlasten begrenzen, SQL-Injection verhindern, den Datenverkehr überwachen und andere Angriffe auf Ihre APIs und andere Ressourcen stoppen.
Ähnlich wie bei BOLA (Broken Object Level Authorization) müssen API-Endpunkte, die für Verwaltungszwecke verwendet werden, sichere Autorisierungsrichtlinien verwenden. Ein Angreifer könnte in der Lage sein, einen Admin-Endpunkt zu erraten, und eine API kann sich nicht darauf verlassen, dass ein Client die Autorisierung implementiert. Die Sicherung von Admin-Endpunkten und -Ressourcen mit einer API-Verwaltungslösung (z. B. webMethods API Management) schützt Ihre API-Ressourcen vor diesem Exploit.
In dem Bemühen, Daten von Clients umzuwandeln und zu binden, kann sich manchmal eine Schwachstelle für Massenzuweisungen einschleichen. Dies geschieht, wenn eine API Daten vom Client erlaubt, Eigenschaften zu speichern, für die der Benutzer keine Berechtigung zur Aktualisierung haben sollte. Eine bewährte Methode zur Vermeidung dieses Problems besteht darin, nur Whitelists und keine Blacklists zu verwenden.Die Verwendung der Richtlinien-Durchsetzung in einer API-Managementlösung mit webMethods zur gezielten Definition der Eigenschaften, die aktualisiert werden können, ist eine Möglichkeit, Ihre API und Daten vor dieser Gefahr zu schützen.
Eine falsche Sicherheitskonfiguration ist wahrscheinlich eines der häufigsten Probleme, die zu Sicherheitslücken führen. Auch wenn menschliches Versagen schwer zu verhindern ist, kann ein API-Gateway einen Teil dieser Verantwortung auf gemeinsam genutzte und globale Sicherheitsrichtliniendefinitionen verlagern, die auf große Sammlungen von APIs angewendet werden können - und so dieses Sicherheitsproblem vermeiden.
API-Angriffe können in Form von Schadcode erfolgen, mit dem ein Client versucht, eine API zur Auftragsausführung zu verleiten. APIs müssen oft unbekannte Daten interpretieren, und eine Schwachstelle kann ausgenutzt werden, wenn die API diesen Code blindlings ausführt. Es ist wichtig, dem API-Client niemals zu vertrauen, auch nicht den internen Nutzern. Durch die Definition von Datentypen in Schemata und die Validierung aller Anfragen mit Hilfe von Bedrohungsschutzrichtlinien, die von Ihrem API-Gateway definiert werden, können Sie SQL-Injektionsangriffe und andere Angriffsarten verhindern.  

Produktions-APIs sind nicht der einzige Oberflächenbereich, den Sie schützen müssen. Es gibt mehrere Arten von APIs, die Sie möglicherweise ausführen und die einem Angreifer Zugang zu wertvollen Daten auf Ihrem System verschaffen könnten.

Einige davon kennen Sie wahrscheinlich sehr gut:

  • Öffentliche APIs (oder externe APIs)
  • Interne APIs
  • Partner-APIs
  • APIs von Drittanbietern
  • Zusammengesetzte APIs

Einige der anderen Arten von APIs sind Ihnen vielleicht weniger vertraut:

  • Beta APIs: Nicht produktive Versionen von APIs wie Alpha, Beta, Testing, Staging und andere. Da sie nicht öffentlich sind, müssen sie möglicherweise noch nicht über sichere Schnittstellen verfügen. Das bedeutet aber nicht, dass auf sie nicht zugegriffen werden kann.
  • Shadow APIs: Diese internen oder öffentlichen APIs, die Sie erstellt haben und verwenden, aber versuchen, sie aus dem Blickfeld zu halten. Für Hacker ist nichts jemals "unauffällig". Sie können sogar davon ausgehen, dass sie sich bereits innerhalb Ihrer Firewall befinden und auf eine Gelegenheit warten, in Ihre Systeme und Daten einzubrechen.
  • Zombie APIs: APIs, die zwar funktionieren und verwendet werden, aber nicht aktualisiert wurden und wahrscheinlich veraltete Sicherheitsfunktionen verwenden. Jüngste Sicherheitslücken in log4j verdeutlichen das Risiko von nicht gewartetem Code und die Auswirkungen, die er haben kann.
  • Frankenstein APIs: Inoffizielle APIs, die zusammengehackt wurden, um Systeme zu scrapen, die keine echten APIs bereitstellen. Das Zusammenhacken von Lösungen, bei denen der wesentliche Schritt der Implementierung angemessener Sicherheit übersprungen wird, gefährdet Ihre Lösungen und potenziell Ihr Unternehmen.

Alle APIs müssen verwaltet und gesichert werden, um den Schutz Ihrer Daten, Ihrer Kunden und Ihres Unternehmens zu gewährleisten. webMethods API Gateway hilft bei der Verwaltung offener APIs und ist in das webMethods API Portal integriert, um vollständige Anweisungen für API-Kunden bereitzustellen.

Die meisten Studien zu Sicherheitsverletzungen zeigen, dass es über 200 Tage dauert, bis eine Sicherheitsverletzung entdeckt wird, wobei diese in der Regel von externen Parteien und nicht durch interne Prozesse oder durch Überwachung entdeckt wird. Ohne angemessene Protokollierung und Überwachung können Angriffe auf Ihre APIs und Daten unbemerkt bleiben. Durch die Implementierung von Richtlinien zur Überwachung des Datenverkehrs über Ihr API-Gateway können Sie die Leistungsbedingungen während der Laufzeit überwachen, Grenzwerte für Dienstaufrufe durchsetzen und Warnungen senden, wenn die Bedingungen verletzt werden. Stellen Sie gegebenenfalls auch sicher, dass Ihre Protokolle von sensiblen Informationen bereinigt und so formatiert werden, dass andere Protokollierungs- und API-Sicherheits-Tools sie nutzen und verarbeiten können.

Die API-Sicherheitslösung der Software AG

Eine effektive API-Sicherheitslösung beginnt mit einem richtig konfigurierten API-Gateway. Die API-Management-Plattform von webMethods bietet eine robuste Lösung für die sichere Verwaltung Ihres API-Portfolios:

  • Verwendung der Ratenbegrenzung zum Schutz von API-Ressourcen
  • Definieren der Zugriffskontrolle über APIs durch die Verwendung von Gateway-Richtlinien
  • Überwachung Ihrer APIs mit fortschrittlicher Analytik Durchsetzung der Autorisierung durch OAuth und andere Methoden
  • Schutz vor DDoS- und anderen Angriffen
  • Sicherstellung von Datenschutz und Integrität durch moderne Verschlüsselungsstandards

Mehr über API-Sicherheit erfahren Sie auch in unserer Videoserie auf YouTube. 

Integration mit API-Sicherheitsprodukten von Drittanbietern

Oftmals verfügen Unternehmen bereits über API-Sicherheitsprodukte, um die von ihrem API-Gateway gebotene API-Sicherheit zu ergänzen, oder suchen nach solchen Produkten. Diese Produkte werden oft in Kategorien eingeteilt, die auf "Shift Left, Shield Right" basieren.

"Shift Left" bedeutet, dass Sie Ihren Sicherheitsschwerpunkt auf den Beginn des API-Lebenszyklus-Prozesses verlagern und ihn in das Design und die Entwicklung einer API integrieren, was dazu beiträgt, sie in jedem anderen Schritt des API-Lebenszyklus bis hin zur Außerbetriebnahme einer API zu schützen.

"Shield Right" bedeutet, dass Sie Ihre APIs auch während der Laufzeit und darüber hinaus schützen müssen. Auf diese Weise können Sie unbekannte Angriffe mit einer Kombination aus KI/ML und definierten Algorithmen und Richtlinien abwehren.

Software AG webMethods bietet eine API-Sicherheitslösung, die mit anderen API-Sicherheitsprodukten integriert werden kann, um die Cybersecurity-Strategie Ihres Unternehmens zu unterstützen. Der ganzheitliche Ansatz für die API-Verwaltung, den webMethods bietet, macht es zur idealen API-Sicherheitslösung, unabhängig davon, welche anderen Produkte Sie einsetzen.

ICS JPG PDF WRD XLS