BLOG

15 Fragen zu Ihrer API-Haltung

Chuck Herrin Miniaturbild
Chuck Herrin
Veröffentlicht am 01. November 2024

Ich habe ein Geheimnis, das ich heute mit Ihnen teilen werde. Von den sechs Positionen als Chief Information Security Officer (CISO), die ich in den letzten 20 Jahren innehatte, wurde ich nur in einer aufgrund eines Sicherheitsverstoßes eingestellt. Eins. 

Bei den anderen fünf Stellen war dies entweder auf Fluktuation zurückzuführen oder der Amtsinhaber wurde ersetzt, weil wichtige Interessenvertreter das Vertrauen verloren hatten. Die Hälfte der Mitarbeiter wurde aufgrund eines Vertrauensverlusts und nicht aufgrund eines Verstoßes ersetzt.

Warum CISOs ihre API-Umgebung verstehen müssen

Im Bereich der API-Sicherheit können wir die Notwendigkeit für CISOs, ihre API-Risiken zu verstehen, auf einige wenige deklarative Aussagen reduzieren. 

Um ein Bedrohungsmodell für eine bestimmte Umgebung zu erstellen, müssen Sie zunächst vier Dinge wissen: Ihre Assets, Akteure, Schnittstellen und Aktionen. Mit anderen Worten: „Wer macht was, womit, über was?“

Zweitens steht das „I“ in API für „Schnittstelle“. Application werden auf vielen Plattformen, in vielen Sprachen und Frameworks verwendet und bei nahezu der gesamten modernen Softwareentwicklung steht der API-Ansatz im Vordergrund. Sie haben garantiert APIs in Ihrer Umgebung. 

Drittens: Wenn Sie als CISO kein Inventar der Schnittstellen haben, über die Ihre vertraulichen Daten offengelegt und bereitgestellt werden – sei es intern oder für Ihre Web- und Mobil-Apps –, verfügen Sie über ein unvollständiges Bedrohungsmodell und entsprechende blinde Flecken, an denen Dienste und Daten offengelegt werden. 

Und schließlich mangelt es unvollständigen Bedrohungsmodellen an einer umfassenden Sicherheitsaufsicht und dem Nachweis der gebotenen Sorgfalt – zwei kritische Bereiche, für deren Einhaltung Prüfer und Aufsichtsbehörden verantwortlich sind. Sie müssen sicherstellen, dass Assets, Akteure, Schnittstellen und Aktionen in einer bestimmten Umgebung verstanden und verwaltet werden. 

Bewerten Sie Ihr API- Sicherheitsrisiko

Hier bei F5 möchten wir, dass unsere Kunden immer die klügsten Leute im Raum sind. Deshalb haben wir eine kurze Liste mit Fragen erstellt, mit denen Sie den aktuellen Status Ihres API-Ökosystems beurteilen können. Wenn Sie diese Fragen jetzt beantworten, sind Sie vorbereitet, falls Sie später bei einer Prüfung vor Ort oder einem externen Audit danach gefragt werden. 

Ich habe diese Fragen persönlich mit Regulierungsbehörden und Prüfern mehrerer Behörden geteilt. Jetzt, da die USA Die Federal Communications Commission hat damit begonnen, speziell für API-Probleme Bußgelder und Vergleiche zu verhängen, und die aktuelle Version des Payment Card Industry Datensicherheit Standard (PCI DSS) 4.0+ erfordert API-Konformität speziell bei der Entwicklung. Für Verteidiger war es also nie besser, diese Antworten zur Hand zu haben. 

Auch wenn Sie nicht alle Fragen beantworten können, ist es für CISOs von entscheidender Bedeutung, zu wissen, wo Sie stehen und eine proaktive Haltung zu zeigen. Indem Sie zeigen, dass Sie Ihre API-Sicherheitslage bestens verstehen und weiterentwickeln, behalten Sie das Vertrauen, für das Sie so hart gearbeitet haben. 

Hier ist die Liste, vom einfachsten bis zum schwierigsten. Wenn es Ihnen schwerfällt, so weit in der Liste vorzudringen, wie Sie möchten, rufen Sie Ihr F5-Accountteam an. Wir sind hier, um zu helfen.

  1. Wer ist für die API-Sicherheit unseres Unternehmens verantwortlich?
  2. Sind unseren APIs Eigentümer zugewiesen?
  3. Wie viel unseres Umsatzes wird über APIs erzielt?
  4. Wie viele APIs haben wir?
  5. Wie viele davon werden aktiv verwendet und wie viele sind inaktiv?
  6. Wie viele sind anfällig für die zehn häufigsten API-Probleme ?
  7. Decken unsere Penetrationstests API-Schwachstellen und Angriffe auf die Geschäftslogik in der Produktion ausreichend ab?
  8. Welche unserer APIs übertragen oder empfangen Daten, die der Einhaltung gesetzlicher oder behördlicher Vorschriften unterliegen?
  9. Sehen wir bösartigen Datenverkehr? Auf welchen API-Endpunkten?
  10. Wie hoch ist unser allgemeines API-Sicherheitsrisiko? Hat es sich seit dieser Zeit im letzten Jahr verbessert oder verschlechtert?
  11. Gibt es Entwicklungsteams, die mehr API-Probleme verursachen als andere? Wie werden sie geschult und erhalten Feedback zu API-Sicherheitsproblemen?
  12. Gibt es ein Prüfverfahren für Code- und API-Änderungen, bevor diese in die Produktion gehen?
  13. Wer erhält Warnmeldungen zu Sicherheitsereignissen, die bei unseren APIs erkannt werden?
  14. Wie hoch ist die durchschnittliche Reaktionszeit in Minuten, wenn ein BOLA-Angriff (Broken Object Level Authorization) gegen eine unserer Produktions-APIs erkannt wird?
  15. Und zum Schluss zurück zu den Grundlagen ganz oben auf der Liste: Wissen die Leute, von denen wir annehmen, dass sie für die API-Sicherheit verantwortlich sind, und sind sie damit einverstanden, dass sie dafür verantwortlich sind?

Ihre Sicherheitslage verbessern

Die Bewertung Ihrer API-Umgebung und der potenziellen Bedrohung, die von APIs ausgeht, ist der erste Schritt zur Aufdeckung blinder Flecken und zur Verbesserung Ihrer Sicherheitslage.   

Besuchen Sie F5 diese Woche bei API World in Santa Clara, Kalifornien, um alles über APIs zu erfahren. Ich werde am Donnerstag um 13:00 Uhr PST zusammen mit zwei meiner Kollegen in einer offenen Sitzung sprechen: „Eine Welt der KI ist eine Welt der APIs: Sicherung der modernsten modernen Apps“ und dieselbe Sitzung wird virtuell am Donnerstag, den 14. November, um 13 Uhr abgehalten. 

F5 wird außerdem die virtuelle Sitzung „API CTF: „Lernen Sie die Grundlagen der API-Sicherheit kennen“, am Dienstag, 12. November, um 9 Uhr. 

Gehen Sie nicht zur API World? Sehen Sie sich unsere API-Sicherheitsdemo an.