In einer sich ständig wandelnden Bedrohungslandschaft nutzen Cyberkriminelle APIs als bevorzugte Waffe für Kontoübernahme-Betrug (ATO), weil sie direkten Zugriff auf wertvolle Ressourcen und Funktionen ermöglichen. API-Bedrohungen sind so gravierend geworden, dass OWASP gerade seine neue Liste der Top 10 API-Sicherheitsrisiken 2023 veröffentlicht hat, um relevante Schwachstellen für Unternehmen deutlich zu machen.
Kriminelle haben ihre ATO-Taktiken umgestellt und greifen nun APIs an. Mit Hilfe bösartiger Bots führen sie Angriffe durch, die von Credential Stuffing und Missbrauch der Geschäftslogik bis hin zu DDoS-Angriffen reichen, die häufig zu Anwendungsausfällen, Identitätsdiebstahl und Betrug führen. Diese Angriffe lassen sich mit leicht verfügbaren Tools einfacher denn je orchestrieren und sind mit herkömmlichen Bot-Abwehrtechniken nur schwer zu erkennen.
Nach Schätzungen des Office of the CTO von F5 wird die Anzahl der in der Produktion befindlichen APIs in den nächsten Jahren exponentiell steigen. Bis 2030 könnten zwischen 500 Millionen und über 1,5 Milliarden APIs in der Produktion sein. Leider sind das großartige Neuigkeiten für Cyberkriminelle, die ständig versuchen, ihr Zielgebiet zu erweitern.
Moderne bösartige Bot-Angriffe entwickeln sich ständig weiter, sodass herkömmliche Bot-Schutzlösungen immer weniger wirksam sind. Dieses Problem verschärft sich voraussichtlich bei APIs, da Bot-Angriffe eine Vielzahl neuer Methoden nutzen – von automatisierten Erkundungsscans über die Ausnutzung von Ressourcen und Schwachstellen in der Geschäftslogik bis hin zu Credential Stuffing und Injektionsangriffen.
API-Credential-Stuffing-Angriffe sind ein gutes Beispiel dafür, warum Sie mit herkömmlichen Bot-Abwehrstrategien angreifbar sind. Einige APIs stellen Authentifizierungstoken bereit, nachdem ein Benutzername und ein Passwort übermittelt wurden, ähnlich wie bei der Anmeldung bei einer Website. Dieses Token wird normalerweise für alle anderen Anfragen an die API verwendet. Es handelt sich dabei um ein bei APIs, insbesondere älteren APIs, häufig anzutreffendes Muster, das anfällig für Credential-Stuffing- und Password-Spraying-Angriffe ist.
Die Unterscheidung zwischen Angreifern und echten Kunden ist schwierig, da bei solchen gezielten Angriffen die meisten herkömmlichen Kontrollen umgangen werden. Herkömmliche Sicherheitskontrollen wie einfache Web App Firewalls (WAFs) und Security Information and Event Management (SIEM)-Systeme reichen nicht aus, um Bot-Angriffe auf APIs zu erkennen und zu verhindern. Dies liegt unter anderem an der hohen Menge an Machine-to-Machine- bzw. API-to-API-Datenverkehr. Angriffe können oberflächlich betrachtet wie normales App-Verhalten aussehen, doch im Hintergrund können APIs ausgenutzt und missbraucht werden, sodass Angreifer der Entdeckung entgehen können, bis es zu spät ist.
Die API-Sicherheit ist eine gemeinsame Verantwortung der gesamten Organisation. Daher ist es besonders wichtig, sich vor Angriffen durch Bots zu schützen, die zu Kompromittierungen und Datendiebstählen führen und sich auf die Betriebszeit und Zuverlässigkeit sowohl älterer Webanwendungen als auch moderner API-Strukturen auswirken.
Wenn es um API-Sicherheit und den Schutz vor unbefugtem Zugriff über APIs geht, sei es durch Credential Stuffing, Brute-Force oder andere Mechanismen für gewaltsame Anmeldeversuche, kann eine ausgereifte KI/ML-Engine hilfreich sein, indem sie fehlgeschlagene Anmeldeversuche oder Versuche, API-Parameter zu ermitteln, identifiziert und diese Versuche zur Überprüfung durch die Betriebsteams kennzeichnet.
Unternehmen können ihre API-Sicherheit auf verschiedene Weise verbessern. Dazu gehören die Validierung von Verbindungen und Zugriffen, die Überwachung und Meldung von Verhaltensmustern im Zeitverlauf sowie die Identifizierung ungewöhnlichen Clientverhaltens, um potenzielle Schwachstellen zu ermitteln.
Sie sollten die Möglichkeit in Betracht ziehen, sich einen zentralen Überblick über die Sicherheitslage Ihrer API zu verschaffen, damit Ihr Unternehmen schnell reagieren, potenzielle Probleme in Ihrer API-Umgebung erkennen, detaillierte Untersuchungen durchführen und bei Bedarf handeln kann, um Anomalien oder Bedrohungen zu neutralisieren, die sich auf die Konnektivität, Verfügbarkeit oder App- und API-Sicherheit auswirken könnten.
Erfahren Sie in diesem On-Demand-Webinar mehr darüber, wie Sie Account-Übernahmeangriffe verhindern können.