Sicherung von APIs: Mission unmöglich?
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Die API-Sicherheit ist schwierig, aber mit ausreichender Schulung, Planung und einer Konzentration auf Best Practices können selbst die heimtückischsten Sicherheitslücken gemindert werden.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
%20(1).avif)
.avif)
