Barracuda full logo

API-Erkennung: der Schlüssel zur Sicherung Ihrer Anwendungen

Themen:
8. Feb.. 2024
|

API-Trends

Die Anwendungsprogrammierschnittstelle (API) hat in den letzten Jahren an Fahrt gewonnen, was sich im gesamten API-Verkehr widerspiegelt, der von Anwendungsservern empfangen wird. Laut dem Postman-State of API Report für 2023 wurden 121 Millionen Sammlungen für das API-Ökosystem erstellt, und es gab in den 12 Monaten bis Mai 2023 1,29 Milliarden neue GET-Anfragen. Die Welt bewegt sich in Richtung API-First-Entwicklung, und daraus ergeben sich auch viele neue Herausforderungen für die Sicherung von Webservern, um eine angemessene Sicherheit für APIs zu gewährleisten. 

Herausforderungen bei der API-Sicherheit

Während der Anwendungsentwicklung fügen Programmierer sehr regelmäßig APIs hinzu oder aktualisieren oder löschen sie. Aus diesem Grund ist es für Administratoren sehr schwierig, geeignete Sicherheitsregeln für diese sich entwickelnden API-Sets zu pflegen. Die meisten APIs werden für private und Partnerintegrationszwecke erstellt, bei denen Sicherheit keine Entwicklungspriorität ist. Dadurch steigt das Risiko, dass die API-Sicherheit in den Hintergrund gerät. 

Eine weitere bemerkenswerte Tatsache ist, dass 97 % der Anwendungseigentümer sich der Notwendigkeit von Verbesserungen der API-Sicherheit bewusst sind, diese jedoch aufgrund mangelnder Transparenz der API-Endpunkte und -Strukturen nicht erreichen können. 

Wir haben versucht, die wichtigsten Probleme zusammenzufassen, mit denen die Eigentümer von Web-Applikationen bei der Bereitstellung und Sicherung ihrer APIs konfrontiert sind.

  • Beispielloser Anstieg des API-Verkehrs

 

API-Datenverkehr nach Land – Postman 2023 2023 State of the API Report
  • Mangelnde Bekanntheit und Dokumentation öffentlicher und privater API-Endpunkte
    • Da Unternehmen immer mehr zur API-First-Entwicklung übergehen, werden ständig neue API-Endpunkte erstellt, und die alten veralten, ohne dass der Administrator davon viel mitbekommt. Da es nur wenige oder gar keine Informationen darüber gibt, ist es für Administratoren schwierig, Webserver für optimale Sicherheitspraktiken zu konfigurieren bzw. umzukonfigurieren, wodurch viele Sicherheitslücken im System entstehen.
  • Verwendung von internen APIs
    •  Untersuchungen von Barracuda haben ergeben, dass mehr als 25 % der APIs als rein interne APIs konzipiert wurden.  Diese internen APIs werden oft mit deutlich weniger Fokus auf Sicherheit entwickelt. In vielen Fällen werden APIs (von den Entwicklungsteams) als hinter den Web-Applikationen „versteckt“ betrachtet, und Anwendungseigentümer sind sich dessen nicht bewusst, wenn diese internen APIs der Außenwelt zugänglich gemacht werden.  Dies führt zu großen Sicherheitslücken und einer wachsenden Angriffsfläche – vor allem, wenn die Anwendungen über das Internet zugänglich sind oder keine Zugriffskontrollen haben, die eine laterale Bewegungen durch einen Bedrohungsakteur verhindern.
  • Identifizieren von Shadow- oder Zombie-APIs
    •  Es gibt mehrere APIs, die zu Testzwecken im System erstellt und unwissentlich ohne jegliche Sicherheit zurückgelassen werden. Das Verfolgen von Traffic-Pfaden zu solchen APIs wird fast unmöglich, da nur begrenzter Datenverkehr bei diesen Test-APIs ankommt. Darüber hinaus kommt es häufig vor, dass Anwendungsentwickler und Administratoren kleinere Änderungen übersehen, was dazu führt, dass die Sicherheitsregeln nicht immer auf dem neuesten Stand sind. Untersuchungen von Barracuda haben ergeben, dass fast 37 % der Befragten laut eigenem Ermessen die API-Standards nicht verstehen. Wenn Angreifer diese Endpunkte identifizieren können – wie es bei Optus der Fall war –, können sie die API ausnutzen und sind dadurch in der Lage, dem Anwendungsserver schweren Schaden zufügen und eine Datenschutzverletzung von Benutzerdaten herbeizuführen.
  • Identifizieren aller verfügbaren API-Endpunkte und -Strukturen
    • Ohne eine Live-Analyse des Datenverkehrs ist es sehr einfach, die vom Server exponierten API-Endpunkte sowie die Struktur der einzelnen von der API erwarteten Parameter zu übersehen. Ohne diese vollständig zu kennen, können wir nie sicher sein, welche Sicherheitsanforderungen die einzelnen Endpunkte und Parameter haben, was letztendlich zu einer unzureichenden Sicherheitskonfiguration führt.        
  • Am häufigsten angegriffene APIs/Parameter 
    • Einige APIs, beispielsweise Anmelde-APIs, werden häufiger angegriffen als andere.  Ebenso sind Benutzernamen-/Passwortfelder in der Regel anfälliger für Ingestion-Angriffe als andere Parameter. Ohne genaue Informationen über alle Felder, die Anzahl der Abfragen, Wertformate usw. wird es für Administratoren jedoch zu einer großen Herausforderung, APIs so bereitzustellen, dass sie vor möglichen Exploits geschützt sind.

Die Bedrohungen, die vom Aufschwung der APIs ausgehen, erhöhen die Arbeitsbelastung von IT-Teams. Neben diesem Wachstum bei APIs sehen sich Unternehmen mit immer ausgefeilteren Cyberangriffen über andere Bedrohungsvektoren sowie einem Mangel an Cybersecurity-Fachkräften konfrontiert. Das macht es für Unternehmen schwierig und teuer, interne IT-Teams voll zu besetzen und das Unternehmen vollständig abzusichern.

Barracuda WAF API-Erkennung  

Die auf maschinellem Lernen basierende API-Erkennung von Barracuda analysiert den gesamten Datenverkehr, der bei Ihrer Anwendung ankommt, filtert den API-Verkehr und verwendet diese Informationen, um Endpunkte des API-Verkehrs zu identifizieren.  Sobald diese Endpunkte identifiziert sind, lernt es die Struktur der Schlüssel/Werte, die von jeder API erwartet werden. An diesem Punkt konfiguriert Barracuda Application Protection automatisch die Sicherheitseinstellungen, um sicherzustellen, dass Ihre APIs gegen die neuesten Bedrohungen auf dem Markt geschützt sind. API-Eigentümer und Administratoren können diese Konfigurationen dann in der Vorschau anzeigen und nach Bedarf anpassen.

Barracuda Application Protection nutzt darüber hinaus maschinelles Lernen (ML), um kontinuierlich dazuzulernen und Ihre Anwendungsumgebung zu schützen. Die Auto Configuration Engine ist ein Barracuda Active Threat Intelligence-Service, der den gesamten Anwendungsdatenverkehr aus verbundenen Einheiten überprüft und anwendungsspezifische Konfigurationsempfehlungen liefert. So können Sie Sicherheitslücken von Web-Applikationen und APIs schließen und gleichzeitig den IT-Aufwand für den Anwendungsschutz reduzieren.

Weitere Informationen zu Barracuda Application Protection finden Sie auf unserer Website. Sie können auch eine kostenlose 30-tägige Testversion erhalten, um die Lösung in Ihrer eigenen Umgebung zu testen.  

 

 

Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.