BLOG

API-Angriffsprävention: Vorbereitung auf das neue Ziel der Kontoübernahme durch Cyberkriminelle

Angel Grant Miniaturbild
Angel-Grant - Ein Leben ohne Gnade
Veröffentlicht am 25. Juli 2023

In einer sich ständig verändernden Bedrohungslandschaft sind APIs für Cyberkriminelle zur neuen Lieblingswaffe geworden, um Account-Übernahmebetrug (ATO) durchzuführen, da sie direkten Zugriff auf wertvolle Ressourcen und Funktionen bieten. API-Bedrohungen sind zu einem solchen Problem geworden, dass OWASP gerade seine neue Liste der Top 10 API-Sicherheitsrisiken 2023 veröffentlicht hat, um die Aufmerksamkeit auf die Bereiche zu lenken, mit denen sich Unternehmen befassen müssen.

Kriminelle haben ihre ATO-Taktiken umgestellt und greifen nun APIs an. Mit Hilfe bösartiger Bots führen sie Angriffe durch, die von Credential Stuffing und Missbrauch der Geschäftslogik bis hin zu DDoS-Angriffen reichen, die häufig zu Anwendungsausfällen, Identitätsdiebstahl und Betrug führen. Diese Angriffe lassen sich mit leicht verfügbaren Tools einfacher denn je orchestrieren und sind mit herkömmlichen Bot-Abwehrtechniken nur schwer zu erkennen.

Nach Schätzungen des Office of the CTO von F5 wird die Anzahl der in der Produktion befindlichen APIs in den nächsten Jahren exponentiell steigen. Bis 2030 könnten zwischen 500 Millionen und über 1,5 Milliarden APIs in der Produktion sein. Leider sind das großartige Neuigkeiten für Cyberkriminelle, die ständig versuchen, ihr Zielgebiet zu erweitern.

API-Ausbreitung führt zu vielen blinden Flecken, die zu Schwachstellen führen können

  • Die bewusst offene und vorhersehbare Struktur schafft viele offene Türen, die man leicht erkunden kann.
    Entwickler neigen dazu, flexible APIs mit vorhersehbaren Strukturen zu erstellen, die logischen Architekturen (wie REST) entsprechen. Dies macht es Kriminellen leicht, nach weiteren möglicherweise offengelegten Daten zu suchen.

  • Eine eingeschränkte unternehmensübergreifende Sichtbarkeit erschwert die Beobachtung der API-Aktivität – insbesondere, wenn Sie nicht einmal wissen, dass die API existiert.
    APIs werden oft veröffentlicht, bevor die SecOps-Teams davon erfahren, wodurch ein Schatten- oder Zombie-API-Ökosystem entsteht und eine durchgängige Transparenz des API-Verkehrs fehlt.

  • Durch die zunehmende Komplexität entstehen nicht verwaltete und ungesicherte APIs, was eine größere Angriffsfläche ergibt.
    Verteilte Umgebungen und die Verbreitung von Diensten erschweren die konsistente Erkennung, Verwaltung und Überwachung aller APIs. Dies führt zu einer erhöhten Anzahl von Bedrohungen und einer größeren Anfälligkeit für Sicherheits- und Datenschutzvorfälle.

Vorhandene Sicherheitskontrollen schützen APIs möglicherweise nicht vor ATO-Angriffen

Moderne bösartige Bot-Angriffe entwickeln sich ständig weiter, was dazu führt, dass herkömmliche Bot-Präventionstools nicht mehr in der Lage sind, ihre Wirksamkeit aufrechtzuerhalten. Im Hinblick auf APIs wird sich dieses Problem wahrscheinlich noch verschärfen, da APIs mit Bot-Angriffen auf vielfältige neue und unterschiedliche Weise angegriffen werden – von der Automatisierung von Explorationsscans über die Manipulation von Ressourcen und Schwachstellen in der Geschäftslogik bis hin zur Durchführung von Credential-Stuffing- und Injection-Angriffen.

API-Credential-Stuffing-Angriffe sind ein gutes Beispiel dafür, warum Sie mit herkömmlichen Bot-Abwehrstrategien angreifbar sind. Einige APIs stellen Authentifizierungstoken bereit, nachdem ein Benutzername und ein Passwort übermittelt wurden, ähnlich wie bei der Anmeldung bei einer Website. Dieses Token wird normalerweise für alle anderen Anfragen an die API verwendet. Es handelt sich dabei um ein bei APIs, insbesondere älteren APIs, häufig anzutreffendes Muster, das anfällig für Credential-Stuffing- und Password-Spraying-Angriffe ist.

Die Unterscheidung zwischen Angreifern und echten Kunden ist schwierig, da bei solchen gezielten Angriffen die meisten herkömmlichen Kontrollen umgangen werden. Herkömmliche Sicherheitskontrollen wie einfache Web App Firewalls (WAFs) und Security Information and Event Management (SIEM)-Systeme reichen nicht aus, um Bot-Angriffe auf APIs zu erkennen und zu verhindern. Dies liegt unter anderem an der hohen Menge an Machine-to-Machine- bzw. API-to-API-Datenverkehr. Angriffe können oberflächlich betrachtet wie normales App-Verhalten aussehen, doch im Hintergrund können APIs ausgenutzt und missbraucht werden, sodass Angreifer der Entdeckung entgehen können, bis es zu spät ist.

Eine erfolgreiche API-Sicherheitsstrategie zum Schutz vor ATO-Angriffen erfordert Wachsamkeit an mehreren Fronten

Die API-Sicherheit ist eine gemeinsame Verantwortung der gesamten Organisation. Daher ist es besonders wichtig, sich vor Angriffen durch Bots zu schützen, die zu Kompromittierungen und Datendiebstählen führen und sich auf die Betriebszeit und Zuverlässigkeit sowohl älterer Webanwendungen als auch moderner API-Strukturen auswirken.

Wenn es um API-Sicherheit und den Schutz vor unbefugtem Zugriff über APIs geht, sei es durch Credential Stuffing, Brute-Force oder andere Mechanismen für gewaltsame Anmeldeversuche, kann eine ausgereifte KI/ML-Engine hilfreich sein, indem sie fehlgeschlagene Anmeldeversuche oder Versuche, API-Parameter zu ermitteln, identifiziert und diese Versuche zur Überprüfung durch die Betriebsteams kennzeichnet.

Unternehmen können ihre API-Sicherheit auf verschiedene Weise verbessern. Dazu gehören die Validierung von Verbindungen und Zugriffen, die Überwachung und Meldung von Verhaltensmustern im Zeitverlauf sowie die Identifizierung ungewöhnlichen Clientverhaltens, um potenzielle Schwachstellen zu ermitteln.

  • Überwachen und schützen Sie API-Endpunkte kontinuierlich, um sich ändernde App-Integrationen zu identifizieren, anfällige Komponenten zu erkennen und Angriffe durch Integrationen von Drittanbietern abzuwehren.
  • Implementieren Sie ein positives Sicherheitsmodell , das sich in Ihre CI/CD-Pipeline integrieren lässt und OpenAPI- und Swagger-Schnittstellenspezifikationen unterstützt, um Schemata einfach zu validieren, die Protokollkonformität durchzusetzen, automatisch eine Basislinie für normale Verkehrsmuster zu ermitteln und anormales Verhalten zu erkennen.
  • Setzen Sie auf Zero Trust und risikobasierte Sicherheit, indem Sie das Prinzip der geringsten Zugriffsrechte anwenden, Nutzdaten prüfen, die unbefugte Offenlegung von Daten verhindern und Zugriffskontrollen und risikobasierte Authentifizierung für Objekte und Funktionen implementieren. Hierzu gehören das Sammeln von Informationen und der Aufbau einer Basislinie für das normale Verhalten von Bots in Bezug auf Ihre APIs. Durch die Nutzung von Verhaltens- und Musteranalysen, Workflow-Validierung und Fingerprinting können Sie zwischen menschlichen sowie guten und schlechten Bot-Aktivitäten unterscheiden.
  • Reagieren Sie auf einen sich ändernden Anwendungslebenszyklus, indem Sie Sicherheitsfehlkonfigurationen in heterogenen Umgebungen verhindern, Missbrauch eindämmen, der zu Beeinträchtigungen und Dienstverweigerungen führen kann, und Bedrohungen konsistent über Clouds und Architekturen hinweg beheben. Scannen, testen und überwachen Sie Ihre APIs weiterhin auf Fehlkonfigurationen, Schwachstellen und Fehler in der Geschäftslogik.

Sie sollten die Möglichkeit in Betracht ziehen, sich einen zentralen Überblick über die Sicherheitslage Ihrer API zu verschaffen, damit Ihr Unternehmen schnell reagieren, potenzielle Probleme in Ihrer API-Umgebung erkennen, detaillierte Untersuchungen durchführen und bei Bedarf handeln kann, um Anomalien oder Bedrohungen zu neutralisieren, die sich auf die Konnektivität, Verfügbarkeit oder App- und API-Sicherheit auswirken könnten.

Erfahren Sie in diesem On-Demand-Webinar mehr darüber, wie Sie Account-Übernahmeangriffe verhindern können.