Lehren (bisher) aus dem T-Mobile-Datenleck

Die jüngste Bekanntgabe des Datenschutzverstoßes bei T-Mobile verdeutlicht die Herausforderungen des wachsenden „Wilden Westens“ der Anwendungssicherheit – APIs. Einer Einzelperson (oder einer Gruppe) gelang es, durch die Nutzung (oder den Missbrauch) einer API die persönlichen Daten von mehr als 30 Millionen Kunden zu sammeln. Dabei wurden über einen Monat lang täglich Informationen abgeschöpft, bevor dies entdeckt wurde.

Zum Zeitpunkt des Schreibens dieses Artikels sind noch nicht viele Einzelheiten darüber bekannt, wie und warum die API in diesem Fall missbraucht wurde (z. B. Funktionsmissbrauch, fehlerhafte Autorisierung auf Objektebene, übermäßige Datenfreigabe) oder wie der Verstoß letztendlich zustande kam. Allein bei der Betrachtung der Zahlen wurden im Durchschnitt Daten von 902.000 Kunden pro Tag über diese API entfernt, ohne dass ratenbegrenzende Schwellenwerte, Verhaltensanomalien in der Zeitreihe usw. ausgelöst wurden. Oder vielleicht war dies der Fall, aber die Bedrohungsstufe war nicht ausreichend, um eine schnelle Identifizierung zu ermöglichen und den Einsatzteams Abhilfemaßnahmen zu ermöglichen. Der Angriff weist die Kennzeichen eines langsamen Angriffs auf.

Verstöße wie dieser geben uns Gelegenheit, darüber nachzudenken, wie weitverbreitet APIs sind, wie wichtig sie für heutige Unternehmen sind und welche einzigartige Rolle sie für die Sicherheit (oder Unsicherheit) jeder Anwendung und damit eines ganzen Unternehmens spielen können. Bei einer Analyse von Sicherheitsverletzungen der letzten Jahre hat F5 Labs festgestellt, dass in den meisten Szenarien, in denen Vorfälle mit APIs in Zusammenhang stehen, die Methode der Sicherheitsverletzung technisch sehr einfach ist und sich auf öffentlich zugängliche, schlecht gesicherte API-Endpunkte auswirkt.

Sicherheit ist bei APIs leichter gesagt als getan (zumindest nicht gut gemacht). Angesichts der Flut von Daten zu Anwendungssicherheitsereignissen, die für die wachsende Zahl von Anwendungen und Endpunkten generiert werden, die heutzutage von den meisten Organisationen überwacht werden, erscheint es wie eine unmögliche Aufgabe, den Überblick zu behalten.

Dieser Angriff verdeutlicht jedoch insbesondere drei Kernelemente im Zusammenhang mit der API-Sicherheit, von denen alle Unternehmen lernen können, wenn es darum geht, Technologien und Dienste zu priorisieren, die diese Anforderungen erfüllen:

API-Sichtbarkeit und -Erkennung. In diesem Fall ist nicht klar, ob diese spezielle API bekannt war oder aktiv überwacht wurde. Positive Sicherheit, die auf sicher entwickelten und gut dokumentierten APIs mit Schema-Durchsetzungsfunktion basiert, ist zwar von entscheidender Bedeutung, stellt jedoch nur die halbe Miete dar. Die meisten Organisationen haben wahrscheinlich nicht alle APIs im Griff, die in ihrer Umgebung ausgeführt werden. Daher ist es äußerst wichtig, ständig zu lernen und APIs, die noch nicht dokumentiert sind, über alle Kommunikationspfade einer Anwendung hinweg zuzuordnen. Mithilfe der Discovery-Technologie können Unternehmen ihre gesamte API-Landschaft abbilden. Dabei werden unbekannte/Schatten-APIs, aufgegebene oder Zombie-APIs zum Blockieren/Entfernen sowie alle unbekannten „guten“ APIs identifiziert, die bei der Governance berücksichtigt werden sollten. Dies ermöglicht eine umfassendere Übersicht.

Das Wissen um die Existenz einer API und die Möglichkeit zur Zugriffskontrolle sind zwei entscheidende Teile des API-Sicherheitspuzzles. In unserem State of Application Strategy Report 2022 stuften 68 % der Befragten Authentifizierung und Autorisierung als die wertvollsten Komponenten der API-Sicherheit ein – dicht gefolgt von Verhaltensanalyse und Anomalieerkennung zur Überwachung von APIs, um abnormales Verhalten und potenziellen Missbrauch zu identifizieren und davor zu warnen, da es viele Möglichkeiten gibt, wie böswillige Akteure Authentifizierung und Autorisierung leicht umgehen können. In diesem Szenario muss etwas an den zwischen der API und dem Client übermittelten Daten ungewöhnlich gewesen sein. Die Möglichkeit, das API-Verhalten im Laufe der Zeit zu verfolgen, sobald es in der Produktion ist, würde im Allgemeinen die Analyse von API-Anforderungen und die Erkennung von Zeitreihenanomalien umfassen, um grundlegende Verhaltensattribute zu erstellen, die zur Identifizierung von Anomalien bei Anforderungsraten, Fehlern, Latenz, Durchsatz usw. verwendet würden. Bei dieser Funktion ist ein Warnelement von entscheidender Bedeutung, um Probleme zu melden, wenn unerwartete Spitzen oder Einbrüche auftreten, einzigartige Verkehrsmuster vorhanden sind oder abnormale API-Anfragen erkannt werden.

Zum Abrunden eines modernen API-Sicherheits-Stacks ist eine In-Line Application und API Security Enforcement Engine erforderlich, die höchstwahrscheinlich eine WAF mit mehreren Ebenen von Anwendungssicherheitsfunktionen enthält, wie z. B. granulare L7-Richtliniendurchsetzung mit Ratenbegrenzung, IP-Reputation, Allow/Deny-Listenfunktionalität und L7-DoS mit Funktionen zur weiteren Untersuchung und Reaktion auf böswillige Endpunkte, Benutzer und andere Aktivitäten. Auf diese Weise können Betriebsteams bei erkannten Anomalien schnell und einfach einen Verdacht auf API-Missbrauch erkennen und Richtlinien zum Unterbinden dieses Missbrauchs erstellen. So werden APIs und App-Endpunkte im Laufe der Zeit bei ihrer Weiterentwicklung und Verhaltensänderungen besser geschützt.

Mit der Zeit werden sicherlich noch mehr Informationen ans Licht kommen, wenn wir erfahren, was bei diesem konkreten Verstoß genau passiert ist. Es ist jedoch von entscheidender Bedeutung, dass die Unternehmen diese drei Elemente nutzen, um ihre Apps und API-Endpunkte zu bewerten und einen besseren Plan zum Schutz vor Missbrauch dieser Art zu entwickeln.