API-Sicherheit und Zombie-APIs: Empfehlungen für Best Practices zum Auffinden und Verfolgen von APIs

APIs sind überall: Sie erzeugen blinde Flecken und die Angst vor unbekannten, aktiven Schnittstellen. Diese APIs finden ihren Weg in öffentliche und private Cloud-Umgebungen und in alle Ecken der Rechenzentren. Aus diesem Grund sind sich die meisten DevOps- und Sicherheitsteams nicht immer sicher, ob sie alle exponierten APIs sehen – interne wie auch externe.

Die Sicherheitsteams müssen daher viel Arbeit investieren, um diese blinden Flecken zu beseitigen und alle APIs zu identifizieren. Dies gilt auch für Schatten-APIs und alte Versionen, die bei Migrationen von Anwendungen versehentlich nicht deaktiviert wurden. Hacker suchen nach diesen APIs und brechen mit ihrer Hilfe in Unternehmen ein, um Daten zu stehlen oder um Konten zu übernehmen und sich zu bereichern. Solche Vorfälle gab es in sozialen Netzwerken, im Finanzwesen, im Gesundheitswesen und im Einzelhandel.

Wie können Sie verhindern, dass böswillige Akteure über anfällige APIs die Grenzen Ihres Unternehmens durchbrechen? Wenn Sie Ihr Netzwerk schützen wollen, müssen Sie verstehen, wo die Risiken liegen und wie Sie bewährte Praktiken für die API-Sicherheitspraktiken und damit auch das Auffinden und Verfolgen von APIs umsetzen können.

APIs können Unternehmen enorme wirtschaftliche Vorteile bringen. Sie bergen allerdings auch Risiken, und bestimmte Arten von APIs sind anfälliger als andere.

Die Zombie-API ist beispielsweise eine API, die im Zuge der Migration von einer Anwendungsversion auf eine andere aus praktischen Gründen nicht deaktiviert wurde, und die später einfach vergessen wurde. Ein Beispiel wäre die Veröffentlichung einer neuen Version, die aufgrund ihrer erweiterten Funktionalität eine neue API benötigt. Damit die Umstellung reibungslos vonstattengeht, bleibt die alte API weiterhin „aktiv“, um den Entwicklern genügend Zeit für den Umstieg auf die neue API zu geben. Das Sicherheitsteam hat anschließend Schwierigkeiten damit, diese „alten“ APIs zu verfolgen und sie rechtzeitig zu deaktivieren. In den meisten Fällen werden sie vergessen und öffnen den Hackern Tür und Tor.

Als Schatten-API werden in der Regel diejenigen APIs bezeichnet, die außerhalb des regulären DevSecOps-Prozesses erstellt wurden. Sie werden infolgedessen auch „Rogue APIs“ genannt und von Sicherheitsteams nicht beachtet, wodurch sich das Risiko einer Datenschutzverletzung erhöht.

Wenn eine dieser APIs vom Sicherheitsteam nicht gefunden und verfolgt wird, kann sie verheerenden Schaden in Ihrem Unternehmen anrichten.

Die mit Schatten- und Zombie-APIs verbundenen Risiken können am effektivsten mit bewährten Praktiken für die API-Sicherheit eingedämmt werden, d.h. auch mit angemessenen DevSecOps-Prozessen und dem Einsatz von domänenspezifischen Lösungen.

Es gibt beispielsweise Tools wie PingOne API Intelligence, die aktive APIs automatisch erkennen und verfolgen. Diese Lösung erkennt neue APIs, Schatten-APIs, alte API-Versionen und ganz allgemein alle vergessenen und noch aktiven APIs, so dass die Sicherheit verbessert werden kann, bevor Hacker die APIs entdecken.

Eine effiziente Überwachung einer API-Infrastruktur erfordert zudem das Verfolgen von Benutzeraktivitäten über alle APIs hinweg, unabhängig vom Ort der API, der Cloud oder dem verwendeten API-Gateway. Bei diesem Monitoring wird im Wesentlichen protokolliert, auf welche Ressourcen die einzelnen Nutzer zugreifen, sei es über die verwendeten APIs und URLs oder über Token, Cookies, API-Schlüssel und IP-Adressen. Das bedeutet, dass der gesamte API-Verkehr mit der Identität der jeweiligen Nutzer verknüpft wird und die Informationen über Dashboards und Berichte abrufbar sind.

Best Practice für die API-Sicherheit erfordert schlussendlich auch den Einsatz einer KI/ML-basierten Lösung, mit der atypische Aktivitäten auf APIs erkannt und blockiert werden können. Ein Beispiel wäre, wenn Hacker eine API „bearbeiten“, um sie zu knacken, oder wenn ein Partner eine API missbräuchlich oder falsch verwendet. API-Cyberangriffe können die gängigen Sicherheitsmaßnahmen unterlaufen, da die Hacker wie normale Benutzer mit gültigen Login-Daten auftreten.

Daher ist der Einsatz von KI/ML von entscheidender Bedeutung, um auch unkonventionelle, ständig variierende API-Angriffe abzuwehren, die speziell an die anvisierte API angepasst sind. Man kann es sich so vorstellen, dass jeder Angriff individuell für die jeweilige API konzipiert wird. Aus diesem Grund bieten signatur- und regelbasierte Sicherheitslösungen, wie sie in WAFs verwendet werden, bei den meisten API-Angriffen keinen ausreichenden Schutz.

APIs bedeuten für Ihr Unternehmen im Allgemeinen Zeitersparnis und Effizienzsteigerungen. Wenn sie allerdings nicht ausreichend geschützt sind, können sie auch eine breite Angriffsfläche für Cyberverbrechen darstellen. Daher ist es unerlässlich, bewährte Sicherheitsverfahren wie die Erkennung und Verfolgung von APIs einzusetzen, um den Schutz von API-Infrastrukturen zu gewährleisten. Wenn Sie Ihre Sicherheit auf diese Weise optimieren, bringen Ihnen die APIs weiterhin nur Vorteile und Sie können gleichzeitig sicher sein, dass Ihr Unternehmen nicht unnötig durch unbekannte oder vergessene APIs gefährdet wird.

Blog zum tieferen Einstieg in dieses Thema: API-Sicherheit: Der ultimative Leitfaden