Suchen

Von Inventarisierung bis zum Testing Tipps für die Absicherung von APIs

Redakteur: Stephan Augsten

Application Programming Interfaces, kurz APIs, dienen dem Datenaustausch zwischen Anwendungen und Prozessen. Damit sind die Programmierschnittstellen auch für potenzielle Angreifer interessant. Ralf Sydekum von F5 Networks gibt einige Tipps zur Absicherung von APIs.

Firma zum Thema

Hacker haben sich auf die Verwendung von APIs eingeschossen und greifen vermehrt Informationen über Programmierschnittstellen ab.
Hacker haben sich auf die Verwendung von APIs eingeschossen und greifen vermehrt Informationen über Programmierschnittstellen ab.
(Bild gemeinfrei: geralt / Pixabay )

Die Verbreitung von Programmierschnittstellen hat in den vergangenen Jahren deutlich zugenommen. Hacker suchen vermehrt nach APIs, die durch falsch gesetzte Zugriffsrichtlinien übermäßig viele Informationen preisgeben. Altbekannte Angriffsmethoden wie Injections, Brute-Force-Attacken, Parameter-Manipulation und Session Snooping reichen ihnen dafür völlig aus, warnt F5 Networks.

Gemäß dem Application Protection Report 2019 von F5 Labs zielten alle bis November 2018 erkannten API-bezogenen Vorfälle auf große Plattformen ab. Denn auf API-Gateways, die auf einem Anwendungsserver laufen, werden meist besonders viele APIs verwaltet – und dementsprechend abhängig sind die darüber gespeisten Apps und Anwendungen.

Sämtliche seitdem entdeckten Vorfälle resultierten aus falsch konfigurierten Zugriffskontrollen. Mit anderen Worten: Die Unternehmen wussten nicht, dass ihre API offen war. Eine Studie der North Carolina State University ermittelte, dass mehr als 100.000 Code-Repositories auf GitHub im Klartext gespeicherte API-Token und kryptografische Schlüssel enthalten – die idealen Werkzeuge für die API-Zugriffskontrolle.

Tipps für sichere APIs

Um den Cyberkriminellen einen Schritt voraus zu sein, empfiehlt F5 Networks im Application Protection Report folgende Maßnahmen:

Inventarisieren: Unternehmen sollten wissen, wo sich ihre APIs befinden und wie diese zu Geschäftsprozessen beitragen. Anhand der Informationen aus Perimeter-Scans – um die „Hacker-Perspektive“ zu erhalten – und ausführlichen Interviews mit Entwicklungs- und Betriebsteams sind entsprechende Risikobewertungen zu erstellen.

Authentifizieren: Der State of Application Services Report 2019 von F5 ergab, dass jedes vierte Unternehmen keine API-Authentifizierung verwendet. Das ist ein großes Problem. Die genutzten Anmeldeinformationen müssen auf sichere Weise gespeichert werden, sei es in Form von Benutzer/Passwort-Kombinationen oder API-Schlüsseln.

Autorisieren: Keine API sollte ungeprüfte oder nicht validierte Eingaben an Anwendungen weitergeben. API-Anmeldeinformationen sind nach dem Prinzip der geringsten Berechtigung zu vergeben. Rollenbasierte Zugriffskontrolle sollte zumindest HTTP-Methoden einschränken, die von bestimmten Rollen implementiert werden können. Zudem lassen sich Abfolgen von Aktionen definieren, die dem spezifischen API-Anwendungsfall entsprechen.

Protokollieren: Alle API-Verbindungen sind zu protokollieren und zu prüfen, unabhängig von Ergebnis und Verhalten. Außerdem sollten die von den APIs bereitgestellten Ressourcen überwacht werden.

Verschlüsseln: Unternehmen sollten nicht nur den gesamten Web-Traffic und ihre Services verschlüsseln, sondern auch APIs und Verbindungen – sowie die Zertifikate validieren.

Sicherheitstools nutzen: Mit einem „API-fähigen“ Proxy oder einer Firewall lassen sich Anfragen prüfen, validieren und unterdrücken. Einige API-Sicherheitsdienste können den ursprünglichen Client analysieren und feststellen, ob eine Anfrage legitim oder bösartig ist. Sie können auch sicherstellen, dass API-Anfragen dort bleiben, wo sie hingehören.

Testen: Ständige Tests sind erforderlich, um auf dem neuesten Stand zu bleiben. Es empfiehlt sich auch, eine Prämie auf die Entdeckung von API-Schwachstellen bereitzustellen und die Erkenntnisse von Sicherheitsforschern zu nutzen.

Wie Unternehmen ihre APIs schützen können, zeigt F5 auch auf der it-sa, die vom 8. bis 10. Oktober 2019 in Nürnberg stattfindet. F5 ist in Halle 10.0. am Stand 220 der Westcon Group Germany GmbH vertreten.

(ID:46150770)