Verstehen der Herausforderungen und potenziellen Risiken im Zusammenhang mit APIs

Die Ausbreitung von APIs durch eine ständig wachsende Struktur aus Endpunkten und Integrationen macht es den Sicherheitsteams schwer, kritische Geschäftslogik mit manuellen Methoden zu identifizieren und zu schützen. APIs werden zunehmend über heterogene Infrastrukturen verteilt, die sich einer zentralisierten Sicherheitskontrolle entziehen. Außerdem können API-Aufrufe aufgrund des hohen Innovationstempos der Anwendungsentwicklungsteams tief in der Geschäftslogik verborgen und daher schwer zu identifizieren sein.

Bei einer solchen Geschwindigkeit bleibt die Sicherheit oftmals auf der Strecke. Manchmal wird dieses Thema bei der API-Entwicklung auch einfach übersehen. Oft wird die Sicherheit zwar berücksichtigt, doch die Richtlinien werden aufgrund der nuancierten Komplexität der Verwaltung von Anwendungsimplementierungen, die mehrere Clouds und Architekturen überspannen, falsch konfiguriert.

Da APIs für den Datenaustausch zwischen Maschinen konzipiert sind, führen viele APIs direkt zu sensiblen Daten, und das oftmals ohne Risikokontrollen aufzuweisen, wie sie bei der Validierung von Eingaben in benutzerseitige Webformulare zu finden sind. Dennoch sind diese Endpunkte den gleichen Angriffen ausgesetzt wie Webanwendungen, nämlich Exploits und missbräuchlichen Verwendungen, die zu Datenverletzungen und Betrug führen.

API-Endpunkte sollten nicht nur denselben Risikokontrollen wie Webanwendungen unterliegen, sondern es sollten zusätzliche Überlegungen angestellt werden, um unbeabsichtigte Risiken durch Schatten-APIs und Drittanbieter-Integrationen zu minimieren.

APIs sind den gleichen Angriffen ausgesetzt wie Web-Apps

API-Sicherheitsvorfälle waren die Ursache für einige der bekanntesten Datenschutzverletzungen, da APIs für viele Angriffe anfällig sind, die im Allgemeinen Webanwendungen ins Visier nehmen, wie etwa die Ausnutzung von Sicherheitslücken und missbräuchliche Verwendungen durch Bots und bösartige Automatisierungen:

• Einschleusung und Cross-Site-Scripting (XSS) können zu unbefugtem Zugriff auf Daten führen.
• Distributed Denial of Service (DDoS)-Angriffe können wichtige, umsatzbringende Dienste stören.
• Credential Stuffing und andere automatisierte Angriffe können zu Kompromittierung, Datenschutzverletzungen und Betrug führen.

APIs bergen während ihrer gesamten Entwicklung und Umsetzung unbeabsichtigte Risiken

Die Anwendungen haben sich zu einem zunehmend verteilten und dezentralisierten Modell entwickelt, wobei APIs als Verbindungsglied dienen. Mobile Apps und Drittanbieter-Integrationen, die den Geschäftswert erhöhen, sind zu einem wichtigen Faktor geworden, wenn es darum geht, in einer Online-Welt erfolgreich zu bestehen. Untersuchungen von F5 Labs haben ergeben, dass die Zahl der API-Sicherheitsvorfälle von Jahr zu Jahr steigt. Trotz der weit verbreiteten Verwendung von APIs sind die Auswirkungen API-orientierter Architekturen auf die Angriffsfläche noch immer nicht allgemein bekannt.

Das Risiko steigt, wenn APIs ohne ganzheitliche Steuerungsstrategie weit verbreitet werden. Dieses Risiko wird durch einen kontinuierlich fortschreitenden Anwendungslebenszyklus, bei dem sich Anwendungen und APIs im Laufe der Zeit ständig verändern, verschärft.

Die Vielfalt der Schnittstellen und die potenzielle Gefährdung durch Risiken bringen es mit sich, dass Sicherheitsteams sowohl die Eingangstür als auch alle Fenster, die die Bausteine moderner Anwendungen darstellen, schützen müssen.

API Security-Lösung

Fortschritte im Bereich des maschinellen Lernens ermöglichen eine dynamische Erkennung der API-Endpunkte und eine automatische Zuordnung ihrer Abhängigkeiten. Dies bietet eine praktische Möglichkeit zur Analyse von API-Kommunikationsmustern im Zeitverlauf und zur Identifizierung von Schatten-APIs oder undokumentierten APIs, die das Risiko erhöhen.

Darüber hinaus ermöglicht die kontinuierliche Überwachung und Analyse der Endpunkte eine autonome Erstellung von Sicherheits-Baselines, die eine Echtzeit-Erkennung und Eindämmung von Bedrohungen und anomalen Verhaltensweisen ohne manuelle Überwachung ermöglichen.

Dieser kontinuierliche und automatisierte Schutz führt zu präzise kalibrierten Richtlinien, die konsistent über alle Architekturen hinweg für alle APIs anwendbar sind und zur Eindämmung von Exploits, Abschreckung von Bots und zum Schutz vor missbräuchlicher Verwendung und daraus resultierendem Betrug sowie zur Durchsetzung einer Schema- und Zugriffskontrolle eingesetzt werden können.

Unternehmen müssen ihre Legacy-Anwendungen modernisieren und gleichzeitig neue Benutzererlebnisse entwickeln, indem sie moderne Architekturen und Drittanbieter-Integrationen nutzen. Eine ganzheitliche Governance-Strategie, die APIs vom Kern über die Cloud bis hin zum Edge schützt, unterstützt die digitale Transformation und reduziert bekannte und unbekannte Risiken.

Flexible API-Sicherheitsparadigmen

F5 Security wird in jenem Formfaktor ausgeführt, der für Ihre Anwendungsarchitekturen und betrieblichen Kontrollanforderungen am besten geeignet ist – von selbstverwalteten Lösungen, die eine granulare Kontrolle im Rechenzentrum und in der Private/Public Cloud bieten, über eine Cloud-as-a-Service-Plattform, die die Komplexität mit integrierten und einfach zu bedienenden Sicherheitsmechanismen verringert, bis hin zu verwalteten Diensten, die Ihre Sicherheits- und Betrugsteams durch eine rund um die Uhr verfügbare SOC-Überwachung erweitern.

Wichtige Überlegungen zur Einsetzung von API-Sicherheitslösungen:

1. Integration in bestehende Entwicklungsprozesse 
   Sicherheitsteams können mit dem Lebenszyklus von Anwendungen Schritt halten, indem sie eine Integration in CI/CD-Pipelines vornehmen und mithilfe einer dynamischen API- und Anomalieerkennung Schatten-APIs identifizieren und unbeabsichtigte Risiken mindern.
2. Multi-Cloud-Umgebungen und hybride Umgebungen
   F5-Lösungen optimieren Richtlinien mit einem positiven Sicherheitsmodell, das Fehlkonfigurationen verhindert und mit OpenAPI-Definitionen, Swagger-Dateien und Zero-Trust-Prinzipien für konsistenten Schutz vom Kern bis zum Rand des Netzwerks sorgt.
3. APIs für stark regulierte Unternehmen
   APIs, die mit dem Austausch sensibler Daten zu tun haben, können zusätzliche Sicherheitskontrollen erfordern, um die Einhaltung lokaler Vorschriften und/oder branchenspezifischer Vorgaben zu gewährleisten.
4. API-Workloads in Kubernetes und Lambda
   Die Service-Mesh-Technologie von F5 unterstützt API-Bereitstellungsteams bei der Bewältigung von Herausforderungen in Bezug auf Transparenz und Sicherheit, wenn API-Endpunkte in einer Kubernetes-Umgebung oder über AWS Lambda bereitgestellt werden.
5. API-Gateway 
   API-Veröffentlichung, -Authentifizierung und -Autorisierung können für integrierte Gateway-Funktionen in Microservices-Architekturen mit robusten API-Schutz-Mechanismen gekoppelt werden.