Das Sicherheitsrisiko Schatten-APIs in den Griff bekommen

Die Problematik mit Schatten-APIs

Die Anzahl der APIs in Unternehmen steigt rasant an. Laut der API-Plattform Postman wird jede Geschäftsanwendung von 26 bis 50 APIs unterstützt, und die API-Intelligence-Plattform Trebble schätzt, dass ein durchschnittliches Unternehmen mehr als 1.000 APIs verwendet, von denen die meisten interne Funktionen erfüllen.

Selbst ohne Berücksichtigung von Schatten-APIs erscheinen diese Zahlen schon unüberschaubar. Die Dynamik von DevOps und Microservices führt durch CI/CD-Pipelines (Continuous Integration/Continuous Delivery) zu einer weiteren Verbreitung von Schatten-APIs.

Schatten-APIs sind zwar nicht zwangsläufig bösartig, aber sie sind ein bevorzugtes Ziel für Angreifer, da sie Governance- und Sicherheitskontrollen umgehen. Schatten-APIs sind aus folgenden Gründen problematisch:

• Sie können sensible Daten offenlegen, was zu Datenverlusten, Datenexfiltration und Compliance-Verstößen führen kann.
• Sie arbeiten ohne ordnungsgemäße Authentifizierung, was zu Compliance-Verstößen und Sicherheitsverletzungen führen kann.
• Sie könnten unbeabsichtigt laterale Bewegungen innerhalb eines Unternehmens ermöglichen, was zu Betriebsunterbrechungen und Cyberangriffen führen kann.
• Sie könnten Schwachstellen aufweisen, die nicht gepatcht werden, da sie nicht in den Zuständigkeitsbereich des Sicherheitsteams fallen.

Mehrere hochkarätige Sicherheitsverletzungen in den letzten Jahren, darunter der Daten-Scraping-Angriff auf die Projektmanagement-Plattform Trello im Januar 2024, konnten auf unverwaltete APIs zurückgeführt werden. Ohne die Möglichkeit, diese versteckten Endpunkte zu erfassen, können Sicherheitsteams Risiken nicht genau bewerten, Kontrollen anwenden oder die Einhaltung gesetzlicher Vorschriften gewährleisten. Die Erkennung und kontinuierliche Überwachung sind daher für die Aufrechterhaltung einer genauen und sicheren API-Bestandsaufnahme von entscheidender Bedeutung.

Wie kann man Schatten-APIs aufspüren?

Um Schatten-APIs zu identifizieren, sollten Unternehmen einen mehrschichtigen Ansatz verfolgen, der sowohl auf der Analyse des Netzwerkverkehrs als auch auf der Integration in ihre bestehenden Entwicklungs- und Cloud-Infrastrukturen basiert.

Befolgen Sie diese grundlegenden Schritte:

• API-Datenverkehrskontrolle. Verwenden Sie API-Gateways, Web Application Firewalls (WAF) oder Cloud-native Tools, um den Netzwerkdatenverkehr auf unbekannte Endpunkte zu überprüfen. API-Sicherheitsplattformen bieten umfassende Transparenz, indem sie den Live-Datenverkehr analysieren und undokumentierte APIs identifizieren.
• Protokollanalyse. Analysieren Sie Protokolle von Load Balancern, Proxys und Firewalls, um Muster der API-Nutzung aufzudecken, einschließlich Anfragen an nicht registrierte Endpunkte. Die Integration mit SIEM-Systemen und Protokollanalyse-Tools hilft dabei, diese Ergebnisse zu korrelieren.
• Cloud-Konfigurationsscan. Cloud Security Posture Management (CSPM) und Cloud-native Application Protection Platform (CNAPP) scannen Cloud-Umgebungen, um falsch konfigurierte Dienste zu erkennen, die undokumentierte APIs offenlegen.
• Code- und Repository-Analyse. Überprüfen Sie den Quellcode und CI/CD-Pipelines mit CNAPPs oder statischen Anwendungssicherheitstests, um API-Aufrufe und Endpunktdefinitionen aufzudecken, die nicht in der zentralen Dokumentation enthalten sind.
• Angriffsflächenmanagement (Attack Surface Management, ASM). Verwenden Sie externe ASM-Tools – oder auch Tools wie die Suchmaschine Shodan –, um die Perspektive von Angreifern zu simulieren und APIs zu identifizieren, die über das öffentliche Internet zugänglich sind.

Wie man Schatten-APIs in den Griff bekommt

Nachdem die Erkennung von Schatten-APIs abgeschlossen ist, implementieren Sie eine Kombination aus Richtlinien, Governance und technischen Durchsetzungsmaßnahmen, um die Nutzung von Schatten-APIs zu überwachen und zu reduzieren. Gehen Sie dazu wie folgt vor:

• Legen Sie klare API-Richtlinien fest. Definieren Sie obligatorische Registrierungs-, Versions- und Genehmigungsworkflows für alle API-Bereitstellungen. Verpflichten Sie die Teams, zugelassene API-Gateways zu verwenden und Schnittstellen als Teil der Richtlinien oder Standarddefinitionen zu dokumentieren. Schulen Sie die Entwickler in diesen Richtlinien und Standards und sorgen Sie für deren Einhaltung. Führen Sie regelmäßige Schulungen durch und binden Sie Sicherheitsbeauftragte in die DevOps-Teams ein.
• Fördern Sie eine Security-as-Code-Kultur. Stellen Sie sicher, dass sichere APIs Teil der Build-Pipelines sind. Verwenden Sie zentralisierte API-Gateways, um Kontrollen zur Durchsetzung von Sicherheitsrichtlinien wie Authentifizierung, Ratenbegrenzung und Schema-Validierung zu implementieren. Sobald diese Kontrollen eingerichtet sind, verwenden Sie API-Sicherheitsplattformen, um eine kontinuierliche Überwachung, Anomalieerkennung und Drift-Erkennung anhand der API-Baseline durchzuführen.
• Führen Sie regelmäßige Audits durch. Scannen und validieren Sie regelmäßig das API-Inventar anhand des Laufzeitverkehrs und des Quellcodes, um die Konformität sicherzustellen.

Schatten-APIs sind ein unvermeidliches Nebenprodukt der heutigen Entwicklung, müssen jedoch kein Nachteil sein. Unternehmen können diese nicht autorisierten Schnittstellen durch den Einsatz von Techniken zur Erkennung von Schatten-APIs in Echtzeit, einem starken Governance-Modell und einer kollaborativen DevSecOps-Kultur eindämmen.

Einen Ratgeber zur praxisnahen Umsetzung bei der Absicherung von APIs liefert das kostenlose E-Handbook Ratgeber: APIs richtig absichern.