Zombie-APIs: Was sie sind und warum es Sie betrifft

Zombie-APIs! Klingt das nicht schaurig? Nun, das sollte es auch. Zombie-APIs fressen zwar keine Gehirne, aber sie verschlingen Daten, Geld und die Fähigkeit von Unternehmen, den Betrieb aufrechtzuerhalten, da sie Cyberkriminellen Zugang zum Netzwerk verschaffen.

Zum Glück gibt es Sicherheitstechnologien und -strategien, die dabei helfen können, diese APIs zu zähmen und die damit verbundenen Risiken zu beseitigen.

API-basierte Cyberrisiken

Die weit verbreitete Verwendung von Anwendungsprogrammierschnittstellen (APIs) hat sich für Unternehmen aller Größenordnungen als großer Segen erwiesen. Sie ermöglichen die schnelle Entwicklung und Bereitstellung von Anwendungen, die mittlerweile für fast jedes Unternehmen und jede Branche wichtig sind.

Leider bringt jede neue API auch neue Schwachstellen mit sich. Ihre Verwendung erweitert die Angriffsfläche. Laut einer kürzlich durchgeführten Studie wurden durchschnittlich über 15.000 APIs von den Umfrageteilnehmern verwendet. Bei Großunternehmen mit mehr als 10.000 Mitarbeitern stieg der Durchschnitt auf über 25.000.

Das sind jede Menge potenzielle Angriffspunkte für Cyberkriminelle, die garantiert jederzeit die Netzwerke eifrig durchforsten, um ungeschützte APIs für einen Angriff aufzuspüren.

Und bei diesem Unterfangen sind sie erfolgreich. Dieselbe Studie ergab, dass 41 % der Befragten im vergangenen Jahr einen Sicherheitsvorfall erlebt hatten, bei dem eine API ausgenutzt wurde – und dass 69 % von ihnen dadurch Datenverluste oder -verletzungen erlitten hatten. Im Jahr 2022 schätzte TechWire Asia, dass API-basierte Angriffe Unternehmen jährlich bis zu 75 Milliarden US-Dollar kosten.

Was sind Zombie-APIs?

Wenn es um APIs geht, die aktiv genutzt werden, kann es eine Herausforderung sein, sie auf dem neuesten Stand zu halten und für ihre Sicherheit zu sorgen – und das liegt vor allem daran, dass es keinen Konsens darüber gibt, wer dafür zuständig ist. Die IT-Sicherheitsteams sagen, es sei Aufgabe von DevOps, DevOps behaupten, es sei ein Sicherheitsproblem, und die Kriminellen lachen sich währenddessen ins Fäustchen.

Unabhängig davon, wie dieser Konflikt in Ihrem Unternehmen gelöst wird, stehen Sie weiterhin vor dem Problem der Zombie-APIs. Dies sind APIs, die nicht mehr produktiv eingesetzt werden (oder zumindest nicht für einen legitimen Zweck). Sie sind weiterhin vorhanden, und sie dienen weiterhin als Zugang zu einem Teil Ihres Systems, aber niemand pflegt oder aktualisiert sie mehr – und höchstwahrscheinlich erinnert sich auch niemand mehr an sie.

Was Sie selbst tun können

Es gibt jedoch viele Tausende von APIs, von denen ein beträchtlicher Prozentsatz als Zombie kategorisiert werden kann, während kein Verzeichnis und keine Liste von ihnen vorliegt. Die ursprünglichen Entwickler und Nutzer sind möglicherweise schon längst nicht mehr im Unternehmen. Der Aufwand, eine vollständige Kategorisierung Ihrer APIs durchzuführen, nicht benötigte zu entfernen und für die Produktion nützliche APIs zu sichern, ist beträchtlich.

Aber Moment mal. Klingt das nicht nach einem Job, der perfekt für Künstliche Intelligenz geeignet ist? Ja, das tut es. Und wissen Sie was. Moderne Plattformen für Anwendungssicherheit wie Barracuda Application Protection haben genau solche Fähigkeiten entwickelt – und noch viel mehr.

Das API Protection-Modul von Barracuda Application Protection nutzt eine fortschrittliche KI-Engine, um all Ihre APIs zu sichten, einschließlich ungeschützter Endgeräte. Darüber hinaus kann es anschließend automatisch aktuelle Sicherheitskontrollen anwenden und Cyberkriminellen die Möglichkeit nehmen, in Ihr Netzwerk einzudringen und möglicherweise eine kostspielige Sicherheitsverletzung zu verursachen.

Und das ist erst der Anfang. Die API-Schutzfunktionen ermöglichen Ihnen außerdem einen vollständigen Einblick in Anwendungen und Datenverkehr, indem sie umfangreiche Protokolle über jede Interaktion mit jeder API und jede Anfrage an jede API erstellen. Sie lassen sich in Ihre Entwicklungsprozesse integrieren, um sicherzustellen, dass Anwendungen und APIs vollständig gesichert sind, bevor sie die Bereitstellungsphase erreichen.

Zombie-APIs sind definitiv auf dem Vormarsch. Aber mit einer modernen App-Sicherheitsplattform wie Barracuda Application Protection können Sie ein zombiemetzelnder Held sein und Ihr Unternehmen davor schützen, dass sein Gehirn – oder seine Daten – gefressen werden.