Wie Unternehmen für mehr API-Sicherheit sorgen

Effektive Sicherheitsmaßnahmen: Erkennung und Verwaltung

Um dem zu begegnen, ist es sinnvoll eine API-Erkennung zu nutzen. Die integrierte API-Verwaltung beinhaltet das Anlegen einer umfassenden, genauen Aufstellung aller APIs. Dafür wird eine Kombination aus Machine Learning, API-Erkennung und Prüfung des Netzwerk-Traffics genutzt. Das ist ein wesentlicher Bestandteil für API-Gateways, mit denen Unternehmen ihre Internet-Endpunkte verwalten und den API-Status überwachen können. Außerdem erlaubt ein solcher Dienst, API-Traffic anhand von Sitzungsmerkmalen (in der Regel ein Header oder Cookie) zu identifizieren und sich so einen besseren Überblick zu verschaffen.

Bei der Analyse unserer Kundendaten sind wir auf beunruhigende Befunde gestoßen. Im Vergleich der sitzungsbasierten API-Erkennung mit unserer auf maschinellem Lernen beruhenden API-Erkennung (im Rahmen derer der gesamte eingehende Traffic analysiert wird) ergibt sich, dass letztere im Durchschnitt 30,7 Prozent mehr Endpunkte aufdeckt. Ohne eine umfassende Analyse des Datenverkehrs bleibt also unter Umständen fast ein Drittel des API-Bestands im Verborgenen.

An dieser Stelle ist es wichtig festzuhalten, dass Schatten-APIs nicht grundsätzlich böswillig sind. Sie stellen dennoch ein hohes Risiko dar, denn die IT- und Sicherheitsabteilungen eines Unternehmens sind für die Durchsetzung und Verbesserung der API-Sicherheitsstandards verantwortlich – sie können aber nur die APIs und Endpunkte schützen, die sie sehen können. Wenn es eine Abhängigkeit gibt, von der diese Abteilungen nichts wissen, können sie die potenzielle Offenlegung von Daten nicht nachverfolgen, die Compliance nicht sicherstellen und Angriffe nicht abwehren. Deshalb ist es dringend geraten, mit einer umfassenden Aufstellung der APIs im Unternehmensnetzwerk zu beginnen.

„ So praktisch und wichtig APIs sind, so anfällig sind sie für Missbrauch. Denn viele Firmen haben kein klares Bild von ihrem API-Bestand – selbst wenn sie glauben, API-Traffic korrekt identifizieren zu können.“

Stefan Henke, Cloudflare

APIs werden in der Regel in einem standardisierten Format namens OpenAPI katalogisiert und viele Entwicklungs-Tools können Schema-Dateien im OpenAPI-Format erstellen. Unternehmen können selbst mit der Erfassung Ihrer APIs anfangen, wenn sie über Dateien mit diesem Format verfügen, indem Sie diese Schemata sammeln. Wenn es darum geht, Missbrauch zu unterbinden, denken die meisten Fachleute zuerst an Durchsatzbegrenzung. Die Implementierung von Grenzwerten für Ihre APIs ist ein wertvolles Instrument, um Missbrauch einzudämmen und eine versehentliche Überlastung des Ursprungsservers zu verhindern. Die Ansätze können variieren, aber im Allgemeinen hängen sie vom gewählten Fehlercode und der Grundlage für den Grenzwert selbst ab.

Angriffsmuster und Gefahrenabwehr

APIs sind nicht immun gegen normale Angriffe nach Art der OWASP Top 10 wie SQL-Injection. Der Text von API-Anfragen kann auch als Datenbankeingabe verwendet werden, genau wie eine Formulareingabe oder ein URL-Argument auf einer Webseite. Deshalb sollte unbedingt sichergestellt sein, dass eine Web Application Firewall (WAF) auch den API-Datenverkehr schützt, um diese Arten von Attacken abzufangen. Eine Untersuchung der Managed Rules der Cloudflare-WAF hat ergeben, dass Injection-Angriffe der zweithäufigste Bedrohungsvektor bei APIs waren. An erster Stelle standen HTTP-Anomalien.

Ein Patentrezept für eine ganzheitliche API-Sicherheit gibt es nicht. Hier sind drei Strategien zur Verbesserung der API-Sicherheit:

1. Einführung einer gemeinsamen Steuerungsebene aller vorhandenen APIs. Hier werden die Entwicklung, Sichtbarmachung, Performance und Sicherheit von API-Anwendungen zusammengeführt.
2. Verwenden von Sicherheitswerkzeugen, die maschinelles Lernen nutzen, um personelle Ressourcen freizusetzen und Kosten zu senken.
3. Einführung eines positiven Sicherheitsmodells für die API.

Was versteht man unter einem positiven oder negativen Sicherheitsmodell? Bei einem negativen Modell suchen Sicherheits-Tools nach bekannten Anzeichen für Angriffe und ergreifen Maßnahmen, um diese zu stoppen. Bei einem positiven Modell suchen die Sicherheits-Tools nach bekanntermaßen gutartigen Anfragen und lassen nur diese zu, während alle anderen blockiert werden. APIs sind oft so aufgebaut, dass positive Sicherheitsmodelle sinnvoll sind, wenn man das höchstmögliche Sicherheitsniveau gewährleisten möchte. Es lassen sich auch Sicherheitsmodelle miteinander kombinieren, beispielsweise eine WAF im Sinne eines negativen Modells und eine API-Schema-Validierung im Sinne eines positiven Modells.

Steigende Komplexität der API-Sicherheit

Immer mehr Web- und Mobilgeräte-Anwendungen setzen APIs ein, die alles von der Authentifizierung über Transaktionen bis hin zur Bereitstellung von Mediendateien ermöglichen. Als Folge der wachsenden Verbreitung dieser Anwendungen steigt auch das Volumen des API-Traffics. Diese Entwicklung wird dafür sorgen, dass API-Risken weiterhin zunehmen und sich in ihrer Komplexität verändern. Ein wesentlicher Grund hierfür ist die größere Verfügbarkeit von generativer KI. Sicherheitsmängel bei Programmierschnittstellen können beispielsweise auftreten, wenn fehlerhafter, von einer KI verfasster Code eingeführt wird. Allerhöchste Zeil also, Licht auf die Schatten-API zu werfen.

Über den Autor:
Stefan Henke ist RVP DACH bei Cloudflare.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.