6 Prinzipien einer ganzheitlichen API-Sicherheitsstrategie

Es besteht eine sehr reale Chance, dass Sie, selbst wenn Sie es versuchen würden, derzeit nicht jeden API-Endpunkt in Ihrer Umgebung identifizieren könnten. Leider kann man das Gleiche von böswilligen Akteuren nicht behaupten. Wenn ein Endpunkt vorhanden ist, kann dieser als Einfallstor oder als Möglichkeit zur Unterbrechung kritischer Geschäftsfunktionen genutzt werden.

Darüber hinaus besteht durch die öffentliche Bereitstellung von APIs die Möglichkeit, dass Sie Anfragen von unzähligen Kunden, Partnern und Apps erhalten. Durch diese Gefährdung ist Ihr Unternehmen auch anfällig für Kompromisse. Daher ist es wichtig, APIs zu verstehen und zu überwachen. Um Ihr Unternehmen vor den Sicherheitslücken und potenziellen Bedrohungen zu schützen, die APIs mit sich bringen und die zu Sicherheitsverletzungen und Ausfallzeiten führen können, müssen zahlreiche Risikokontrollen berücksichtigt werden.

Für jeden Verteidiger ist die API-Erkennung der erste, entscheidende Schritt zur Sicherung von APIs. Es versteht sich vielleicht von selbst, aber nichts ist wahrer als das Sprichwort „Man kann nicht schützen, was man nicht sieht.“ Eine vollständige API-Inventur dient als Ausgangspunkt für die Entwicklung oder Verbesserung einer API-Sicherheitslage und hilft Ihnen, Ihre gesamte API-Bedrohungsfläche zu verstehen und zu quantifizieren. Es dient als Grundlage für:

• Sichtweite: Durch die Katalogisierung aller verfügbaren APIs erhalten Sie bessere Einblicke in Ihre API-Bedrohungslandschaft, einschließlich Schwachstellen, Offenlegung vertraulicher Daten und nicht autorisierter oder vergessener Endpunkte.
• Versionskontrolle: Das Erstellen eines Inventars erleichtert die Versionsverwaltung. Wenn Sie den Verlauf und die verschiedenen Versionen der APIs kennen, können Sie veraltete oder anfällige Versionen ausmustern oder sie ordnungsgemäß sichern.
• Überwachung: Mithilfe einer zentralen und vollständigen API-Inventarisierung können Sie die API-Nutzung besser überwachen und protokollieren. So können Sie verdächtige Aktivitäten (Anomalien) und potenzielle Sicherheitsvorfälle leichter erkennen und darauf reagieren. Im Falle eines Vorfalls kann Ihnen eine übersichtliche Inventarisierung außerdem bei Ihrer Reaktion helfen.
• Einheitliche Sicherheitskontrollen und -richtlinien: Durch diese Transparenz, einschließlich einer vollständigen API-Bestandsaufnahme, können Sie Kontrollen und Richtlinien wirksam über Ihre gesamte API-Bedrohungsoberfläche implementieren.

Es ist ein klassischer Kampf. Einerseits ist der Drang, mutig zu sein, Grenzen zu überschreiten und das zu tun, was die Konkurrenz nicht kann, ein Eckpfeiler jedes erfolgreichen Unternehmens. Andererseits ist die Sicherheit auch bei den neuesten Innovationen nicht immer gewährleistet.

Der Schlüssel zum Erreichen des Gleichgewichts besteht in drei Teilen:

• Entwerfen Sie für jeden API-Typ eine API-Governance-Strategie, um die entsprechenden Sicherheitskontrollen festzulegen.
• Implementieren Sie API-Sicherheitsrichtlinien, die überall dort konsistent durchgesetzt werden können, wo APIs bereitgestellt werden.
• Passen Sie sich an neue Bedrohungen, anomales Verhalten und böswillige Benutzer an, die versuchen, APIs mithilfe von KI auszunutzen oder zu missbrauchen, um die Belastung der Sicherheitsteams zu verringern.

Je nach Branche variieren die Compliance-Standards. Einige erfordern strengere Sicherheitsvorkehrungen als andere. Unabhängig davon ist es wichtig, dass Ihre API-Sicherheitslage robust genug ist, um einer Flut von Bedrohungsvektoren standzuhalten.

API-Sicherheitstests sind keine einmalige Sache. Tests vor, während und nach der Bereitstellung sind von entscheidender Bedeutung. Durch die Integration von Tests in jede Entwicklungsphase erhalten Sie viel mehr Möglichkeiten, Schwächen und Sicherheitslücken zu erkennen, bevor es zu Sicherheitsverletzungen kommt. Und obwohl sicherheitsspezifische Testtools großartig sind, sollten Sie auch die Modellierung von Sicherheitsanwendungsfällen nicht vergessen.

Die Sicherheit muss im gleichen kontinuierlichen Lebenszyklus wie die Apps selbst ausgeführt werden, was eine enge Integration in CI/CD-Pipelines, Servicebereitstellung und Ereignisüberwachungs-Ökosysteme bedeutet.

Genauso wie es kein Nahrungsmittel gibt, das uns vollständig ernährt, gibt es auch keine Sicherheitskontrolle , die APIs vollständig schützt. Stattdessen müssen Sie eine Strategie entwickeln, die ein abgerundetes Ökosystem an Tools als Teil einer ganzheitlichen App- und API- Sicherheitsarchitektur nutzt. Hierzu gehören die Erkennung und Inline-Durchsetzung, die Ihnen die Möglichkeit geben, das API-Verhalten zu kontrollieren, unerwünschte oder böswillige Aktivitäten einzuschränken und die Offenlegung vertraulicher Daten zu verhindern.

Dies kann eine Kombination aus Funktionen und Tools umfassen, darunter:

• Ein API-Gateway
• App-Sicherheitstests (SAST und DAST)
• Eine Web Application Firewall (WAF)
• Verhinderung von Datenverlust (DLP)
• Bot-Verwaltung
• DDoS-Abwehr

API-Gateways stellen robuste Inventarisierungs- und Verwaltungsfunktionen bereit, bieten jedoch nur grundlegende Sicherheit, wie etwa eine Ratenbegrenzung, die versierte Angreifer nicht abschreckt. Darüber hinaus führt die Verbreitung von APIs zu einer Ausbreitung der Tools, einschließlich der Verbreitung von API-Gateways.

Sicherheitstests für Apps sind immer von entscheidender Bedeutung, aber Shift-Left-Methoden für eine robuste Application während der Entwicklung müssen durch Shield-Right-Praktiken ergänzt werden – nämlich durch die Sicherung von API-Endpunkten in der Produktion. 

Web Application Firewalls bieten eine wichtige Notlösung, um die Ausnutzung von Application mithilfe von Signaturen zu verhindern. APIs sind für dieselben Arten von Injection-Angriffen anfällig wie die Applications , die sie unterstützen – etwa für den Versuch, unbeabsichtigte Befehle auszuführen oder auf Daten zuzugreifen. Allerdings mangelt es WAFs typischerweise an den dynamischen Erkennungsfunktionen, die für die kontinuierliche Erkennung unbekannter (Schatten- oder Zombie-)APIs und Probleme wie etwa Verhaltensanomalien bei APIs und potenzieller Exploits der Geschäftslogik erforderlich sind.

Funktionen zur Erkennung sensibler Daten und zur Verhinderung von Datenverlust tragen zum Schutz von APIs und der von ihnen abgerufenen und übertragenen Daten bei, indem sie sensible kritische Daten, darunter personenbezogene Daten (PII) und Finanzinformationen, erkennen und maskieren. Auf diese Weise können Unternehmen Datenschutzregeln erstellen, um die Datenübertragung einzuschränken oder zu maskieren und die Offenlegung von Daten durch API-Endpunkte gänzlich zu blockieren. Dies trägt dazu bei, Datenlecks über APIs zu verhindern.

Das Bot-Management für APIs kann sich nicht auf allgemein verwendete Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA) und CAPTCHA verlassen, da der API-Verkehr typischerweise von Maschine zu Maschine erfolgt und es keine direkte menschliche Interaktion außer innerhalb von Benutzeroberflächen in API-basierten Systemen gibt. 

Bei der herkömmlichen DDoS-Abwehr stehen Netzwerk- und Volumenangriffe im Mittelpunkt, APIs können jedoch gezielten Layer-7-Angriffen ausgesetzt sein, die kritische Geschäftslogik missbrauchen. Das Endergebnis ist dasselbe: Leistungseinbußen und möglicherweise Ausfallzeiten.

Dynamische API-Erkennung, Schemadurchsetzung (positive Sicherheit), Zugriffskontrolle sowie automatische Anomalieerkennung und Schutz auf Basis maschinellen Lernens haben sich als entscheidende Ökosystemfunktionen zum Schutz von APIs herausgestellt. Es ist wichtig, über ein oder mehrere Tools zu verfügen, die mit API-Protokollen vertraut sind und die Durchsetzung eines ordnungsgemäßen API-Verhaltens sowie die Erstellung von API-Schutzregeln ermöglichen. Organisationen müssen in der Lage sein, benutzerdefinierte Regeln zu erstellen, die speziell APIs und das API-Verhalten regeln. Hierzu gehören die Steuerung von Zulassungs- und Sperrlisten, Ratenbegrenzungen, Geo-IP-Filterung und die Erstellung benutzerdefinierter Regeln zum Reagieren auf API-Anfragen, einschließlich der Maskierung vertraulicher Daten und Übereinstimmungs- und Anforderungsbeschränkungskriterien für bestimmte API-Endpunkte oder -Gruppen.

Die Verbreitung von APIs führt zu einer unhaltbaren Ausbreitung der Architektur in Hybrid- und Multi-Cloud-Umgebungen. Und wiederum hat die API-Ausbreitung zu einer Ausbreitung von API-Gateways geführt, da viele Sicherheitstools keine konsistente Sicherheit über mehrere Architekturen hinweg bieten können, wie etwa Rechenzentrum, private/öffentliche Cloud und Edge. Die Sichtbarkeit und Kontrolle des API-Verkehrs im gesamten digitalen Ökosystem ist zwingend erforderlich, um die nächste kritische Sicherheitslücke zu schließen und Fehlkonfigurationen zu verhindern, die auftreten können, wenn Endpunkte auf verschiedene Cloud-Anbieter verteilt sind.