weerapat1003 - stock.adobe.com
APIs sind nützlich – und ein Einfallstor für Bedrohungen
APIs ermöglichen die Kommunikation zwischen Anwendungen – können aber auch eine Schwachstelle sein. Web Application Firewalls unterstützen bei der Absicherung.
Der Kunde ist König. Und um diesen die Interaktion im Internet so unkompliziert wie möglich zu machen, setzen viele Firmen auf entsprechende Application Programming Interfaces (APIs), zu Deutsch Programmierschnittstellen. Die Schnittstellen sind heute auch für Anforderungen im Netz so allgegenwärtig, dass fast die Hälfte der Webanwendungen weltweit auf sie setzen. APIs erleichtern die Kommunikation mit Kunden – bieten aber auch Angreifern ein Einfallstor, wenn sie nicht ausreichend geschützt sind.
Durch die Verlagerung der Infrastruktur in die Cloud und die stärkere Nutzung von DevOps verlassen sich Unternehmen zudem mehr und mehr auf Containerisierung und Microservices, die auf APIs angewiesen sind. Das birgt Gefahren: Durch die schiere Anzahl an Interaktionen und Berührungspunkten, die mit der API-Integration verbunden sind, werden damit verbundene Anwendungen und Daten angreifbar.
Leider dokumentieren APIs ihre Implementierung und interne Struktur häufig selbst – und bieten Cyberkriminellen damit geradezu eine Gebrauchsanweisung für eine Sicherheitsverletzung. Darüber hinaus gibt es eine ganze Reihe weiterer Schwachstellen: angefangen bei mangelnder Verschlüsselung und schwacher Authentifizierung, über Fehler in der Applikationslogik, bis hin zu unsicheren Endpunkten.
All dies macht APIs zu einem attraktiven Ziel für potenzielle Angreifer. IT-Verantwortliche sind immer stärker gefordert und müssen mit ganz unterschiedlichen Bedrohungen zurechtkommen. Laut einer Imperva-Studie zum Thema API-Sicherheit sehen IT-Experten die wichtigsten Herausforderungen in den Bereichen Bots und DDoS-Angriffe (39,2 Prozent) und Durchsetzung der Authentifizierung (24 Prozent). Auch bei der Überprüfung von API-Inhalten zur Erkennung von Angriffen (14,8 Prozent) und der Protokollierung der Angriffe (13,6 Prozent) gibt es nach Angaben der Studienteilnehmer Handlungsbedarf.
Integrierte Sicherheitskonzepte für API-Plattformen
Um diese Hürden zu meistern, sollten Unternehmen auf grundlegende Security-Konzepte setzen und diese mit spezialisieren Sicherheitsmaßnahmen für ihre APIs kombinieren: An erster Stelle steht immer Authentifizierung. Hier geht es darum, die Identität eines Endbenutzers genau zu bestimmen. Dies wird allerdings schwieriger, da Angreifer heute über fortschrittliche Methoden verfügen, um ihre wahre Identität zu verbergen.
Im zweiten Schritt folgt die Autorisierung: Sobald klar ist, wer der Benutzer ist, gilt es zu prüfen, auf welche Ressourcen er zugreifen darf. Dabei muss zum Beispiel auch die Frage geklärt werden, ob er Daten bearbeiten oder nur auf schreibgeschützte Ressourcen zugreifen darf.
Danach folgt die Validierung. Dafür muss die Sicherheitslösung in der Lage sein, die API-Aufrufe anhand von Schemata und erwartbaren Strukturen zu überprüfen und die Inhalte scannen. Dies ist besonders wichtig, um betrügerische Aktivitäten wie Code Injections und Parser-Angriffe zu verhindern.
„WAFs sind eines der wichtigsten Sicherheits-Tools zur Absicherung von API-Plattformen, da sie sehr effektiv die Ausnutzung von Schwachstellen verhindern und DDoS-Angriffe auf Anwendungsebene minimieren.“
Spencer Young, Imperva
Eine Web Application Firewall (WAF) übernimmt diese drei Sicherheitsschritte, indem sie eine Reihe von Regeln für die Kommunikation zwischen den Applikationen anwendet und durchsetzt. WAFs sind eines der wichtigsten Sicherheits-Tools zur Absicherung von API-Plattformen, da sie sehr effektiv die Ausnutzung von Schwachstellen verhindern und DDoS-Angriffe auf Anwendungsebene minimieren.
Einige Anbieter bieten spezielle Lösungen für die API-Sicherheit an. Damit ist es möglich, anhand einer OpenAPI-Spezifikationsdatei automatisch ein positives Sicherheitsmodell zu erstellen. Das sorgt dafür, dass nur legitime Zugriffe auf die APIs erfolgen können.
Um die Schnittstellen zwischen Webanwendungen wirkungsvoll abzusichern, müssen Security-Verantwortliche beide Dinge verknüpfen: Die bewährten Best Practices im Bereich Anwendungssicherheit bilden das Fundament, auf das dann spezialisierte Lösungen für die API-Sicherheit aufsetzen. Damit sind Unternehmen auch für die dynamischen Bedrohungen in einer mehrdeutigen API-Umgebung gewappnet.
Über den Autor:
Spencer Young ist Regional Vice President bei Imperva. Er ist verantwortlich für das Wachstum des Imperva-Geschäfts in Europa, dem Mittleren Osten und Afrika. Young hat umfassende Führungserfahrung in der Cybersicherheitsbranche und hilft Kunden beim Schutz kritischer Daten und Anwendungen sowohl in der Cloud als On-Premises.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
