Versteckte APIs: Sind blinde Flecken Angriffsfläche für öffentliche Einrichtungen?
Die digitale Landschaft entwickelt sich ständig weiter und mit ihr die Bedrohungen für den öffentlichen Sektor und die kritische nationale Infrastruktur. Jüngste und gut dokumentierte Angriffe, wie die USA Der Datendiebstahl im US-Finanzministerium Ende letzten Jahres und der im Jahr 2023 bekannt gewordene Hackerangriff auf den Netzbetreiber T-Mobile erinnern eindringlich an die weitverbreiteten Schwachstellen.
Und immer häufiger finden sich diese Schwachstellen in Application (APIs). Gartner hat sogar kürzlich vorausgesagt, dass APIs zum führenden Angriffsvektor für Webanwendungen werden , und meine Erfahrung bestätigt diesen Trend.
Beim AppWorld Public Sector Symposium dieser Woche, das morgen in Tysons Corner, Virginia, beginnt, diskutieren wir den API-Schutz sowie andere neue Trends bei der Application und -sicherheit. Diese Veranstaltung ist eine wichtige Gelegenheit, diese Herausforderungen zu untersuchen und wirksame Lösungen zu finden.
Die Bedrohung durch Schatten-APIs aufgedeckt
Eine der größten Herausforderungen, die ich immer wieder sehe, ist die mangelnde Transparenz der Netzwerkschwachstellen. Viele Organisationen wissen einfach nicht, wie viele APIs sie verwenden. Wir haben API-Erkennungsübungen für Kunden durchgeführt, die dachten, sie hätten rund 100 APIs, dann aber fast 30.000 entdeckten! Dies ist nicht ungewöhnlich und stellt ein erhebliches Sicherheitsrisiko dar.
APIs arbeiten in komplexen Ökosystemen, verborgen in einem Flickenteppich aus Architekturen, Komponenten, Typen und Protokollen. Im Durchschnitt verwenden Organisationen über 20.000 APIs . Bis 2030 wird die Gesamtzahl der im öffentlichen und privaten Sektor genutzten APIs voraussichtlich 2 Milliarden übersteigen. Herausforderungen bei der Verwaltung und Sicherung dieser Daten bestehen meist in einem Mangel an Dokumentation oder in Schwierigkeiten bei der Aufdeckung.
Dieses Phänomen der „Schatten-IT“, bei dem unbekannte oder nicht verwaltete APIs weit verbreitet sind, schafft einen Nährboden für Schwachstellen. Diesen APIs mangelt es häufig an angemessenen Sicherheitskontrollen, was sie zu einem leichten Ziel für böswillige Akteure macht. Stellen Sie sich vor, Sie lassen Türen und Fenster in Ihrem Haus unverschlossen – das ist eine offene Einladung für Eindringlinge.
API-Ausnutzung und Angriffsvektoren verstehen
APIs geraten zunehmend sowohl ins Visier staatlicher Akteure als auch cyberkrimineller Organisationen. APIs für Regierungs- und Verteidigungszwecke sind ebenso anfällig wie öffentlich zugängliche APIs. Aufgrund der sensiblen Daten, mit denen sie umgehen, sind sie als Ziele wohl noch attraktiver.
APIs können als Einstiegspunkte für tiefergehende Angriffe auf Netzwerke verwendet werden. Eine kompromittierte API kann Zugriff auf interne Systeme, Datenbanken und andere kritische Ressourcen ermöglichen. Es ist, als würden Sie einen Geheimgang ins Herz Ihrer Organisation finden. Wie wir im Fall des US-amerikanischen Netzwerkbetreibers T-Mobile gesehen haben, können Bedrohungsakteure API-Schwachstellen ausnutzen, um unberechtigter Zugriff auf vertrauliche Daten zu erhalten, die im Dark Web einen Wert haben. In diesem Fall stahlen Angreifer die persönlichen Daten von 37 Millionen bestehenden Kundenkonten.
Um die Sache noch komplizierter zu machen, hat eine Organisation möglicherweise nicht die vollständige Kontrolle über alle APIs, die mit ihren Systemen in Kontakt treten.
Die USA Angreifer des US-Finanzministeriums verschafften sich Zugriff über eine Schwachstelle in einer Softwarekomponente eines Drittanbieters – ironischerweise in einer Software, die Teil der Cyberabwehr des US-Finanzministeriums war. Diese Angriffe auf die Lieferkette können sich auf Organisationen jeder Größe und jeden Status auswirken. Zahlreiche Beispiele wie der Angriff auf Solar Winds und die Volt Typhoon-Gruppe machten Schlagzeilen.
Um robuste API-Sicherheitsmaßnahmen zu gewährleisten, müssen alle Maßnahmen umgesetzt werden. Unser Bericht zum Stand der Application 2024: API Security zeigt, welche APIs offenbar den größten Risiken ausgesetzt sind, welche häufig nicht geschützt werden und wie API-Sicherheitsmodelle und -Verantwortlichkeiten möglicherweise angepasst werden müssen, um die Sicherheit von APIs im KI-Zeitalter zu gewährleisten. Spoiler-Alarm: Auch Zero-Trust-Sicherheit hat einen blinden Fleck, es sei denn, sie umfasst auch APIs.
Kann KI Ihr Verbündeter in Sachen API-Sicherheit sein? KI-gestützte Verteidigung nutzen
KI verbessert und unterstützt die API-Sicherheit. Gartner schätzt, dass die Einführung von KI bis 2026 für mehr als 30 % der steigenden Nachfrage nach APIs verantwortlich sein wird, da große Sprachmodelle eine große Anzahl von APIs benötigen, um Daten zu sammeln und auszutauschen. Jede API erfordert Dokumentation und Sicherheit, was zahlreiche Möglichkeiten für böswillige Absichten schafft.
Glücklicherweise sind Unternehmen nicht schutzlos und KI entwickelt sich zu einem mächtigen Verteidigungsinstrument. KI und maschinelles Lernen können den API-Verkehr in Echtzeit analysieren und Anomalien und verdächtiges Verhalten erkennen, die für Menschen manuell unmöglich zu identifizieren wären.
KI kann APIs klassifizieren, normale Verhaltensmuster verstehen und potenziellen Missbrauch oder Sicherheitslücken kennzeichnen. Es kann auch verwendet werden, um Sicherheitsrichtlinien dynamisch zu generieren, sich an neue Bedrohungen anzupassen und sicherzustellen, dass Ihre APIs immer geschützt sind. Es ist, als ob ein unermüdlicher, intelligenter Sicherheitsbeamter Ihren API-Verkehr ständig überwacht.
Konsistenter Schutz in allen Umgebungen
Heutzutage nutzen Organisationen im öffentlichen Sektor Hybrid- und Multicloud-Umgebungen – mit AWS, Azure, Google Cloud und anderen – um Skalierbarkeit und Ausfallsicherheit zu erreichen, was jedoch auch die Probleme mit der API-Sicherheit verstärkt. Die inhärenten Unterschiede zwischen Cloud-Anbietern mit ihren eigenen Sicherheitstools und -konfigurationen führen zu einer fragmentierten Sicherheitslage. Wenn man sich ausschließlich auf native Cloud-Sicherheit verlässt, entstehen Lücken, die Angreifer gerne ausnutzen. Es ist, als würde man versuchen, eine Burg mit verschiedenen Armeen zu verteidigen, die nicht aufeinander abgestimmt sind.
Die Komplexität der Verwaltung von APIs über mehrere Clouds hinweg kann Sicherheitsteams leicht überfordern, da sie keinen umfassenden Überblick über alle APIs und ihren Sicherheitsstatus erhalten. Um diese Herausforderung zu bewältigen, ist ein einheitlicher Ansatz erforderlich, der mit einem einzigen, konsistenten Satz von Sicherheitsrichtlinien für alle Clouds beginnt, der Authentifizierung, Autorisierung und mehr abdeckt. Darüber hinaus sind standardisierte Sicherheitskontrollen unerlässlich, die überall ein Mindestmaß an Schutz gewährleisten.
Durch automatisierte Sicherheitstests, die in den API-Entwicklungslebenszyklus integriert sind, werden Schwachstellen zudem frühzeitig erkannt. Echtzeitüberwachung und Bedrohungserkennung sorgen für Transparenz und ermöglichen eine schnelle Reaktion auf Vorfälle, während ein robustes Identity and Zugriffsverwaltung (IAM)-System den API-Zugriff steuert und klare API-Governance-Richtlinien konsistente Sicherheitspraktiken gewährleisten.
Die Sicherung von APIs in einer Multicloud-Welt erfordert einen proaktiven, zentralisierten und standardisierten Ansatz. Durch die Umsetzung dieser Grundsätze können moderne Organisationen des öffentlichen Sektors und kritischer Infrastrukturen Risiken mindern und die fortlaufende Sicherheit ihrer APIs gewährleisten. Letztendlich geht es darum, eine starke, anpassungsfähige Verteidigung gegen sich entwickelnde Bedrohungen aufzubauen.
Möchten Sie mehr erfahren? Hören Sie sich den aktuellen Federal Tech Podcast mit meinem Gespräch mit John Gilroy an. Besuchen Sie auch die F5 Public Sector Solutions- Webseite.