Studien besagen, dass verborgene Schatten-APIs in vielen Unternehmen das Angriffsrisiko deutlich erhöhen. In einer Analyse wurde festgestellt, dass viele Unternehmen kein vollständiges Inventar ihrer APIs haben. Dadurch ist es schwieriger, diese zu verwalten und zu schützen. Foto: Photon photo – shutterstock.comLaut einem Bericht von Cloudflare führt die mangelnde Sichtbarkeit der Anwendungsprogrammierschnittstellen (APIs) in Unternehmen dazu, dass es immer komplexer und schwieriger wird, sie zu verwalten und zu schützen. Das Ergebnis basiert auf einer Auswertung des Netzwerkverkehrs zwischen Oktober 2022 und August 2023. Dabei stellte sich heraus, dass Unternehmen sich entweder nicht vollständig schützen oder sich auf einen lückenhaften API-Schutz ohne Echtzeit-Transparenz verlassen.“APIs sind schwer vor Missbrauch zu schützen. Sie erfordern im Vergleich zu anderen Sicherheitsdiensten für Webanwendungen einen tieferen Geschäftskontext, Erkennungsmethoden und Zugriffsüberprüfungskontrollen”, so der Cloud-Performance- und -Security-Anbieter. Werde API-Sicherheit ohne ein genaues Echtzeitbild der API-Landschaft implementiert, könnte ungewollt legitimer Datenverkehr blockiert werden.Die Cloudflare-Analyse besagt, dass API-Traffic den anderen Internetverkehr übertrifft. 57 Prozent des von Cloudflare verarbeiteten Internetverkehrs (dynamisches HTTP) werden erfolgreichen API-Anfragen zugeschrieben. “Anwendungsentwickler verwenden zunehmend moderne, auf Microservices basierende Anwendungsarchitekturen. Sie benötigen APIs, um auf Dienste, Daten oder andere Anwendungen zuzugreifen und den Nutzern ihrer Anwendungen eine umfangreichere Funktionalität zu bieten”, erklärt Melinda Marks, Senior Analystin bei ESG. Unsichere APIs böten somit einen Angriffspunkt, umauf diese Dienste, Daten oder andere Anwendungen zuzugreifen.Zudem hat Cloudflare festgestellt, dass viele Unternehmen kein vollständiges Inventar ihrer APIs haben, wodurch sie schwerer zu verwalten sind. Fast 31 Prozent mehr REST-API-Endpunkte (Representational State Transfer) als von Betrieben angegeben wurden entdeckt. Das ist der API-Standort, der für die Annahme von Anfragen und das Zurücksenden von Antworten verantwortlich ist.Shadow API öffnet die AngriffsflächeLaut Cloudflare werden Apps, die nicht selbst von der Organisation verwaltet oder gesichert werden – auch bekannt als Schatten-APIs – oft von Entwicklern oder einzelnen Benutzern eingeführt, um bestimmte Geschäftsfunktionen auszuführen. “Eine von uns durchgeführte Studie ergab einen hohen Prozentsatz (67 Prozent) offener APIs für den öffentlichen Gebrauch, (64 Prozent) die Anwendungen mit Partnern verbinden, und (51 Prozent) die Microservices verbinden,” ergänzt die ESG-Analystin. Zudem habe es hohe Raten von API-Updates gegeben, darunter 35 Prozent mit täglichen und 40 Prozent mit wöchentlichen Updates” Es gehe also um eine ständig wachsende Zahl von APIs und damit mehr Schwachstellen die oft durch Unachtsamkeit entstehen und von Hackern ausgenutzt werden könnten.Lesetipp: API Security noch nicht etabliertDDoS ist die führende API-Bedrohung52 Prozent aller von Cloudflare registrierten API-Fehler wurden auf den Fehlercode 429 zurückgeführt, der einen HTTP-Statusabfragecode für “zu viele Anfragen” darstellt. Dies wird durch die Tatsache unterstützt, dass 33 Prozent der API-Abwehrmaßnahmen Angriffe via Distributed Denial of Service (DDoS) blockierten. “Dies ist ein wichtiger Bereich – wir unterschätzen oder vergessen manchmal die DoS- und DDoS-Angriffe”, betont Marks. “Der wichtigste Faktor für die Anwendungssicherheit ist in der Regel die Betriebszeit der Anwendung, daher ist die Fähigkeit, DoS/DDoS-Angriffe zu blockieren, oft eine Priorität für die API-Sicherheit.”Zu den weiteren führenden API-Fehlern gehörten fehlerhafte Anfragen (err code 400) mit 13,8 Prozent, nicht gefunden (err code 404) mit 10,8 Prozent und unautorisiert (err code 401) mit 10,3 Prozent.“Heutzutage haben wir vielschichtige, funktionsreiche Anwendungen mit einer zunehmenden Anzahl von APIs, die dabei helfen, komplexe Funktionen bereitzustellen. Dadurch erhöht sich jedoch das Sicherheitsrisiko, da jede API eine Angriffsfläche darstellt”, so Marks. Weitere Studien hätten gezeigt, dass 92 Prozent der Unternehmen in den vergangenen 12 Monaten mit mindestens einem API-Sicherheitsvorfall konfrontiert waren. Zu den Auswirkungen gehören laut der ESG-Analystin die preisgegebene Daten, übernommene Konten und Denial-of-Service-Angriffe.Schutz vor API-AngriffenLaut Cloudflare können sich Unternehmen vor API-Missbrauch schützen, indem sie einige Praktiken einführen. Dazu zählt, die API-Verwaltung, -Leistung und -Sicherheit zu vereinheitlichen. Darüber hinaus gelte es, ein “positives Sicherheitsmodell” mit einem API-Gateway zu implementieren, das nur “bekannt guten” Datenverkehr zulässt, anstatt “bekannt schlechten” zu verbieten. Des Weiteren rät der Sicherheitsanbieter dazu, Technologien für maschinelles Lernen anzuwenden, um Kosten reduzieren, die Sicherheit zu erhöhen und die Reife der APIs kontinuierlich zu messen. (jm) Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.Lesetipp: Die 10 besten API-Tools SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren