App vs. API-Sicherheit? Bots ist das egal. Schützen Sie Ihre digitalen Assets
Zeit für ein Überraschungsquiz. Welcher dieser Endpunkte gehört zu einer API und welcher zu einer App?
https://www.example.com/product
https://www.example.com/product
Wenn Sie verwirrt sind und sich nicht entscheiden können, ist das in Ordnung. Das ist der Punkt. App- und API-Endpunkte sehen ziemlich gleich aus. Das liegt daran, dass sie technisch gesehen, wenn sie RESTful sind (und das sind die meisten), auf die gleiche Weise aufgerufen werden, nämlich über HTTPS und normalerweise mit einer GET-Methode. Was oft anders ist, ist die mit der Anfrage gesendete Nutzlast. Für APIs, die normalerweise einige Daten im JSON- oder XML-Format enthalten, während Web-App-Anfragen möglicherweise gar nichts enthalten.
Eines der wichtigsten Ergebnisse unserer jährlichen Untersuchung besteht jedoch darin, dass Unternehmen APIs in puncto Sicherheit anders behandeln als Anwendungen. Wir schließen daraus, dass 41 % der Organisationen mindestens gleich viele oder mehr APIs wie Anwendungen haben und dennoch weniger Wert auf dieselben Sicherheitsdienste legen, die sie schützen.
Sie fragen sich vielleicht, wie es dazu kommt, dass Unternehmen mehr APIs als Apps haben. Danke für die Frage! Während APIs, die für die interne Kommunikation zwischen Diensten (wie Microservices) verwendet werden, sicherlich eng mit dem Dienst gekoppelt sind, den sie unterstützen, gilt dies nicht unbedingt, wenn APIs zur Darstellung externer Schnittstellen verwendet werden.
Woher kommen APIs?
Bedenken Sie, dass in unserer Studie aus dem Jahr 2021 61 % der Befragten uns sagten, dass sie als Methode zur Modernisierung „eine API-Ebene hinzufügen, um moderne Benutzeroberflächen zu ermöglichen“. Im Jahr 2022 lag diese Zahl bei 45 %. Das bedeutet, dass die APIs, die moderne Benutzeroberflächen ermöglichen, nicht unbedingt Artefakte sind, die direkt an Anwendungen angehängt sind. Dabei kann es sich um Fassaden handeln, die moderne Benutzeroberflächen und Anwendungen wie mobile Apps und digitale Dienste ermöglichen, oder um Fassaden, die die Kommunikation mit Partnern und in der Lieferkette ermöglichen sollen. Diese Anwendungsfälle werden durch API-Gateways und Layer-7-Routing in Load Balancern unterstützt, die oft ein gewisses Maß an Transformationsfunktionen bereitstellen, die eine Übersetzung vom API-Endpunkt zum App-Endpunkt ermöglichen und so eine API-Fassade ermöglichen, wie sie alte Gebäude im amerikanischen Westen viel eindrucksvoller erscheinen lässt, als sie sind.
Und natürlich handelt es sich bei vielen APIs um öffentlich zugängliche Entitäten, die an Apps angehängt und über das Internet (normalerweise HTTPS) aufgerufen werden.
Unabhängig davon, wie sie dorthin gelangt sind, sind öffentlich zugängliche APIs vielen der gleichen Angriffe ausgesetzt wie Anwendungen. Dies gilt insbesondere, wenn Bots beteiligt sind, da gut dokumentierte APIs es Angreifern einfach machen, Angriffe in großem Maßstab zu skripten.
Beispielsweise waren im Jahr 2023 etwas mehr als 13 % der durch F5 Distributed Cloud Bot Defense geschützten Transaktionen automatisiert. Das heißt, es wurde ein Skript oder eine Software verwendet, statt dass ein Mensch einen Webbrowser oder eine mobile App verwendet. Diese Transaktionen erfolgen sowohl über APIs als auch über Apps. Bei einem gewissen Prozentsatz dieser automatisierten Transaktionen handelte es sich sicherlich um „böse Bots“, die durch die Anwesenheit unseres Sicherheitsdienstes daran gehindert wurden, ihre bösen Absichten zu verwirklichen. (In diesem Bericht von F5 Labs können Sie genauer erfahren, was sie erreichen wollten.)
Als wir uns also ansahen, wie die Befragten das Bot-Management auf der Grundlage der von ihnen angegebenen Anzahl an APIs wahrnehmen, waren wir ziemlich schockiert, als wir feststellten, dass das Bot-Management auf der Wichtigkeitsskala einen ziemlich niedrigen Rang einnimmt.
Anhand dieser hübschen Balkendiagramme können Sie erkennen, dass die Bedeutung, die API-Gateways beigemessen wird, im Verhältnis zur Anzahl der verwalteten APIs angemessen erscheint, das Gleiche gilt jedoch nicht für die Bot-Verwaltung. Tatsächlich ist das genaue Gegenteil der Fall! Mit der wachsenden Anzahl von APIs scheint die Bedeutung des Bot-Managements abzunehmen. Schnell.
Es könnte durchaus sein, dass der Großteil dieser APIs intern ist. Das heißt, es handelt sich um Ost-West-APIs zwischen Microservices, die nicht externen Akteuren ausgesetzt sind, bei denen es sich möglicherweise um Schadbots mit böswilligen Absichten handelt.
Aber vielleicht ist das ja auch so. Angesichts der Zahl der Artikel, die ich im letzten Jahr über Angreifer gelesen habe, die sich über APIs Zugriff verschaffen, gehe ich davon aus, dass es viel mehr externe Angriffe gibt, als wir denken.
Es ist also an der Zeit, die Leute daran zu erinnern, dass es zwar eine Reihe lästiger Bots gibt – Grinch-Bots, Sneaker-Bots usw. –, die das Geschäft stören, indem sie stark nachgefragte Waren aufkaufen, es aber auch eine beträchtliche Anzahl von Bots gibt, deren einziger Zweck darin besteht, Schwachstellen aufzuspüren und diese anzugreifen. Sowohl in APIs als auch in Anwendungen.
Daher wäre es für Unternehmen eine gute Idee, eine breite Palette an Sicherheitsoptionen einzusetzen, um ihre APIs und letztendlich ihr Geschäft zu schützen. Bot-Management ist sicherlich eine dieser Sicherheitsoptionen und sollte als kritischer Bestandteil jeder Sicherheitsstrategie betrachtet werden.
Letzten Endes ist es den Bots egal, ob dieser Endpunkt zu einer App oder einer API gehört. Sie werden beides angreifen.
Das bedeutet, dass Unternehmen sowohl Apps als auch APIs schützen müssen, indem sie Bots erkennen und sie daran hindern, ihre bösen Absichten zu verwirklichen.
Möchten Sie die Bot-Abwehr in Aktion sehen? Sehen Sie sich diese Demo an.