API-Angriffsprävention: Vorbereitung auf das neue Ziel der Kontoübernahme durch Cyberkriminelle

• Die bewusst offene und vorhersehbare Struktur schafft viele offene Türen, die man leicht erkunden kann.
  Entwickler neigen dazu, flexible APIs mit vorhersehbaren Strukturen zu erstellen, die logischen Architekturen (wie REST) entsprechen. Dies macht es Kriminellen leicht, nach weiteren möglicherweise offengelegten Daten zu suchen.
  
  
• Eine eingeschränkte unternehmensübergreifende Sichtbarkeit erschwert die Beobachtung der API-Aktivität – insbesondere, wenn Sie nicht einmal wissen, dass die API existiert.
  APIs werden oft veröffentlicht, bevor die SecOps-Teams davon erfahren, wodurch ein Schatten- oder Zombie-API-Ökosystem entsteht und eine durchgängige Transparenz des API-Verkehrs fehlt.
  
  
• Durch die zunehmende Komplexität entstehen nicht verwaltete und ungesicherte APIs, was eine größere Angriffsfläche ergibt.
  Verteilte Umgebungen und die Verbreitung von Diensten erschweren die konsistente Erkennung, Verwaltung und Überwachung aller APIs. Dies führt zu einer erhöhten Anzahl von Bedrohungen und einer größeren Anfälligkeit für Sicherheits- und Datenschutzvorfälle.

Moderne bösartige Bot-Angriffe entwickeln sich ständig weiter, sodass herkömmliche Bot-Schutzlösungen immer weniger wirksam sind. Dieses Problem verschärft sich voraussichtlich bei APIs, da Bot-Angriffe eine Vielzahl neuer Methoden nutzen – von automatisierten Erkundungsscans über die Ausnutzung von Ressourcen und Schwachstellen in der Geschäftslogik bis hin zu Credential Stuffing und Injektionsangriffen.

API-Credential-Stuffing-Angriffe sind ein gutes Beispiel dafür, warum Sie mit herkömmlichen Bot-Abwehrstrategien angreifbar sind. Einige APIs stellen Authentifizierungstoken bereit, nachdem ein Benutzername und ein Passwort übermittelt wurden, ähnlich wie bei der Anmeldung bei einer Website. Dieses Token wird normalerweise für alle anderen Anfragen an die API verwendet. Es handelt sich dabei um ein bei APIs, insbesondere älteren APIs, häufig anzutreffendes Muster, das anfällig für Credential-Stuffing- und Password-Spraying-Angriffe ist.

Die Unterscheidung zwischen Angreifern und echten Kunden ist schwierig, da bei solchen gezielten Angriffen die meisten herkömmlichen Kontrollen umgangen werden. Herkömmliche Sicherheitskontrollen wie einfache Web App Firewalls (WAFs) und Security Information and Event Management (SIEM)-Systeme reichen nicht aus, um Bot-Angriffe auf APIs zu erkennen und zu verhindern. Dies liegt unter anderem an der hohen Menge an Machine-to-Machine- bzw. API-to-API-Datenverkehr. Angriffe können oberflächlich betrachtet wie normales App-Verhalten aussehen, doch im Hintergrund können APIs ausgenutzt und missbraucht werden, sodass Angreifer der Entdeckung entgehen können, bis es zu spät ist.

Die API-Sicherheit ist eine gemeinsame Verantwortung der gesamten Organisation. Daher ist es besonders wichtig, sich vor Angriffen durch Bots zu schützen, die zu Kompromittierungen und Datendiebstählen führen und sich auf die Betriebszeit und Zuverlässigkeit sowohl älterer Webanwendungen als auch moderner API-Strukturen auswirken.

Wenn es um API-Sicherheit und den Schutz vor unbefugtem Zugriff über APIs geht, sei es durch Credential Stuffing, Brute-Force oder andere Mechanismen für gewaltsame Anmeldeversuche, kann eine ausgereifte KI/ML-Engine hilfreich sein, indem sie fehlgeschlagene Anmeldeversuche oder Versuche, API-Parameter zu ermitteln, identifiziert und diese Versuche zur Überprüfung durch die Betriebsteams kennzeichnet.

Unternehmen können ihre API-Sicherheit auf verschiedene Weise verbessern. Dazu gehören die Validierung von Verbindungen und Zugriffen, die Überwachung und Meldung von Verhaltensmustern im Zeitverlauf sowie die Identifizierung ungewöhnlichen Clientverhaltens, um potenzielle Schwachstellen zu ermitteln.

• Überwachen und schützen Sie API-Endpunkte kontinuierlich, um sich ändernde App-Integrationen zu identifizieren, anfällige Komponenten zu erkennen und Angriffe durch Integrationen von Drittanbietern abzuwehren.
• Implementieren Sie ein positives Sicherheitsmodell , das sich in Ihre CI/CD-Pipeline integrieren lässt und OpenAPI- und Swagger-Schnittstellenspezifikationen unterstützt, um Schemata einfach zu validieren, die Protokollkonformität durchzusetzen, automatisch eine Basislinie für normale Verkehrsmuster zu ermitteln und anormales Verhalten zu erkennen.
• Setzen Sie auf Zero Trust und risikobasierte Sicherheit, indem Sie das Prinzip der geringsten Zugriffsrechte anwenden, Nutzdaten prüfen, die unbefugte Offenlegung von Daten verhindern und Zugriffskontrollen und risikobasierte Authentifizierung für Objekte und Funktionen implementieren. Hierzu gehören das Sammeln von Informationen und der Aufbau einer Basislinie für das normale Verhalten von Bots in Bezug auf Ihre APIs. Durch die Nutzung von Verhaltens- und Musteranalysen, Workflow-Validierung und Fingerprinting können Sie zwischen menschlichen sowie guten und schlechten Bot-Aktivitäten unterscheiden.
• Reagieren Sie auf einen sich ändernden Anwendungslebenszyklus, indem Sie Sicherheitsfehlkonfigurationen in heterogenen Umgebungen verhindern, Missbrauch eindämmen, der zu Beeinträchtigungen und Dienstverweigerungen führen kann, und Bedrohungen konsistent über Clouds und Architekturen hinweg beheben. Scannen, testen und überwachen Sie Ihre APIs weiterhin auf Fehlkonfigurationen, Schwachstellen und Fehler in der Geschäftslogik.

Sie sollten die Möglichkeit in Betracht ziehen, sich einen zentralen Überblick über die Sicherheitslage Ihrer API zu verschaffen, damit Ihr Unternehmen schnell reagieren, potenzielle Probleme in Ihrer API-Umgebung erkennen, detaillierte Untersuchungen durchführen und bei Bedarf handeln kann, um Anomalien oder Bedrohungen zu neutralisieren, die sich auf die Konnektivität, Verfügbarkeit oder App- und API-Sicherheit auswirken könnten.

Erfahren Sie in diesem On-Demand-Webinar mehr darüber, wie Sie Account-Übernahmeangriffe verhindern können.