This is the second in a three-part series of AppSec predictions for 2021. You can read the complete series here.
(Fast) jedes Jahr veröffentliche ich unsere AppSec-Prognosen über die drei Bedrohungen, die im kommenden Jahr eine besonders große Herausforderung darstellen könnten. In den vergangenen zwei Jahren lauteten die Prognosen: Credential-Stuffing/Account-Takeover-Angriffe, API-Angriffe undSupply-Chain-Angriffe. Dieses Jahr kommen die Informationen für unsere Vorhersagen von unserem erweiterten Threat Intelligence Service, einem Teil von Barracuda Advanced Bot Protection. Kurz, unsere Schlussfolgerungen werden von deutlich mehr Daten untermauert.
Angreifer schwenken zunehmend von Webanwendungen auf APIs um
Die meisten Apps werden heutzutage mit einer API-First-Strategie entwickelt. Durch diese beschleunigte Entwicklungsweise kann die Anwendung viel schneller veröffentlicht werden. So entstehen auch neuere Arten von Anwendungen wie Single Page Applications, die für die Arbeit mit mobilen Browsern konzipiert sind und mobile Apps simulieren, ohne dass eine App installiert werden muss.
„Bis 2021 werden mindestens ein Drittel der Unternehmen eine Multi-Experience-Entwicklungsplattform zur Unterstützung mobiler, Web-, Dialog- und Augmented-Reality-Entwicklung implementiert haben.“
Gartner’s API Strategy Maturity Model, Oktober 2019

APIs sind außerdem noch gefährlicher, weil sie direkten Zugriff auf viele sensible Informationen bieten. Ihre Bank-API kann Zugriff auf Ihre Sozialversicherungsnummer, Ihre Ausweisnummer oder Ihr Geburtsdatum geben. Eine unzureichend geschützte API ermöglicht es Angreifern, große Mengen dieser Daten abzurufen.
„APIs sind das neue Aushängeschild, aber die Sicherheitstechnologie hinkt hinterher.“
Forrester: API Insecurity: The Lurking Threat In Your Software, Oktober 2020
Forrester stellt richtig fest, dass APIs nun einmal hier sind – aber die Sicherheitstechnologie hat nicht Schritt gehalten. Das gilt für die meisten neuartigen Technologien. Bei APIs sind einige sich wiederholende Muster erkennbar: fehlendes Rate Limiting (die Begrenzung der Anfragemöglichkeiten), fehlende Zugriffskontrolle und Autorisierung, fehlende rollenbasierte Kontrollen – und vor allem die Offenlegung von APIs, die im Internet getestet werden. Kürzlich kam es daher zu einer Reihe von öffentlichkeitswirksamen Datenschutzverletzungen, z. B. bei Airtel, Just Dial usw.
Die meisten Apps werden heutzutage mit einer API-First-Strategie entwickelt. Durch diese beschleunigte Entwicklungsweise kann die Anwendung viel schneller veröffentlicht werden.TwitternVerbreitung der Top-10-API-Schwachstellen von OWASP
API-Angriffe gelten inzwischen als so gefährlich, dass es eine Top-10-Liste für APIs von OWASP gibt. Die neue Top-10-Liste für APIs von OWASP zählt einige bekannte Angriffe der letzten Jahre aus den Listen der Webanwendungen. Alte Angriffe werden zu neuen, und in einigen Fällen scheint es, als hätten wir aus der Vergangenheit nichts gelernt. Angeführt werden einige der größten Bedrohungen. Rate Limiting ist eine davon. Dieses Problem tritt an vielen verschiedenen Stellen auf. Vor zwei Jahren gab es zum Beispiel eine TMobile-Apple-API für das Onboarding neuer Telefone, die kein Rate Limiting hatte. Man konnte beliebig oft versuchen, den PIN-Code eines Benutzers herauszufinden.
Außerdem stehen Injektionsangriffe wie SQL-Injektion schon lange hoch oben auf den Web-Listen – und gefährden weiterhin API-basierte Anwendungen. Ganz oben steht BOLA. Diese Schwachstelle verursachte ein großes Problem, als Shopify vor einigen Jahren eine API ohne ordnungsgemäße Autorisierungskontrollen freilegte. Das Unternehmen prüfte nicht die Zugriffsberechtigungen für die Umsatzdaten von Shops, die auf ihrer Plattform gehostet werden, und veröffentlichte letztendlich die Daten vieler Shops.
Die Top-10-Liste für APIs von OWASP ist somit eine gute Idee, da sie Entwicklern Anhaltspunkte bietet, wogegen sie ihre APIs sichern sollten.
„Es wird oft APIs die Schuld zugeschoben, obwohl die Schwachstelle in Wirklichkeit bei der Anwendung, der Infrastruktur oder beim Benutzer liegt.“
Forrester: API Insecurity: The Lurking Threat In Your Software, Oktober 2020
Das gilt besonders für APIs. Entwickler geben letztendlich Informationen wie API-Schlüssel auf öffentlichen GitHub-Repositories preis und machen dann ein verdutztes Gesicht, wenn die API gehackt wird.
Machen Sie sich dieses Jahr auf viele öffentlichkeitswirksame API-Pannen (wie kürzlich bei der Parler iOS-App, bevor sie stillgelegt wurde) gefasst.
Nächste Woche geht es mit Teil 3 der Reihe weiter. Weitere Informationen zu Anwendungssicherheit erhalten Sie in der informativen Podiumsdiskussion unserer Experten, in der sie über aktuelle Cybersecurity-Trends, Webanwendungssicherheit, Technologieprognosen für das Jahr 2021 und vieles mehr sprechen. Dieses Webinar ist kostenlos und on demand verfügbar:
Prognosen zur Anwendungssicherheit 2021: Bot-, API- und Supply-Chain-Angriffe
Webinar hier ansehen
Tushar Richabadas ist Senior Product Marketing Manager für Anwendungen und Cloud-Security bei Barracuda. Zuvor war Tushar Product Manager für die Barracuda Web Application Firewall und Barracuda Load Balancer ADC mit den Schwerpunkten Cloud und Automatisierung. Tushar hat als Leiter von Testteams für Netzwerkprodukte und im technischen Marketing für HCL-Cisco bereits viel Arbeitserfahrung gesammelt. Richabadas verfolgt die rasant zunehmenden Auswirkungen der digitalen Sicherheit sehr aufmerksam und setzt sich mit großer Begeisterung für die Vereinfachung der digitalen Sicherheit für alle ein.