:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/1b/05/1b05a6297b2a816d61ef53c5a274bff2/0115206676.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3c1969a5faf8fd032f4b56ccad311/0114861996.jpeg "Full-Stack-Developer beherrschen Front-end- und Back-end-Entwicklung ebenso wie adminsitrative und analytische Tätigkeiten. (Bild: <a href=lakexyde>lakexyde</a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Leitfaden zur API-Sicherheit für CISOs Warum APIs das größte Risiko für Sicherheitsverantwortliche darstellen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Sicherheitsverantwortliche müssen das Unternehmen vor Sicherheitsrisiken schützen und gleichzeitig eine schnelle Markteinführung wichtiger Initiativen ermöglichen. Das gilt erst recht im Zuge der digitalen Transformation. Doch die hierfür nötigen Application Programming Interfaces (APIs), schaffen eine neue kritische Angriffsfläche und risikieren, dass Daten offengelegt werden.
APIs wurden speziell für Dienste entwickelt, die wichtige Daten mit Kunden, Partnern und Mitarbeitern austauschen. Unternehmen verfügen heute über Tausende von APIs, die sich laufend ändern. APIs werden darüber hinaus für die Integration externer Partner- sowie Kundenkanäle genutzt und ermöglichen neue, transformative und mobile Online-Dienste. Dabei erleichtern sie aber den Zugang zu hochsensiblen Informationen, wie personenbezogene oder medizinische Daten, Finanzdaten und ähnliche. Da APIs den Schlüssel zu einem Schatz an Daten enthalten, sind sie ein attraktives Ziel für Angreifer geworden.
Viele Unternehmen mussten es bereits am eigenen Leib erfahren, darunter so namhafte Firmen wie Experian, Facebook und Peloton. API-Angriffe können das Vertrauen der Kunden mindern, Umsatzeinbußen verursachen und den Ruf eines Unternehmens unwiderruflich schädigen. Im Fall der Krypto-Börsenplattform Coinbase hätte die API-Schwachstelle das Unternehmen in den Ruin treiben können, wenn sie nicht entdeckt worden wäre: Dank einer Sicherheitslücke war es einem Angreifer gelungen, die Konten mehrerer Benutzer zu übernehmen und Kryptocoins zu verkaufen, die ihm gar nicht gehörten. Coinbase reagierte schnell und konnte so Schlimmeres verhindern.
API-Angriffe sind schwer zu identifizieren
Trotz dieser Risiken sind APIs in vielen Unternehmen auch heute noch unzureichend geschützt. In der neuesten Ausgabe des halbjährlich erscheinenden “State of the API-Security”-Reports berichten die API-Sicherheitsexperten von Salt Security, dass mehr als ein Drittel der Unternehmen keine API-Sicherheitsstrategie hat. Gleichzeitig gaben 95 Prozent der befragten Unternehmen an, in den letzten 12 Monaten einen API-Sicherheitsvorfall gehabt zu haben.
API-Angriffe basieren auf einer Reihe von zusammenhängenden Ereignissen. Herkömmliche Sicherheitsmaßnahmen, wie zum Beispiel Web Application Firewalls (WAF), betrachten jedoch eine Transaktion nach der anderen und können nur bekannte Angriffspfade erkennen. Jede APIs hat eine einzigartige Logik und Angreifer erkunden sie zunächst Schritt für Schritt. Solche “langsamen” Aktivitäten erkennt eine WAF nicht als Gefahr, erst recht nicht, wenn keine weiteren Informationen zur Verfügung stehen. Um Bedrohungen zu erkennen und abzuwehren, müssen Sicherheitsverantwortliche die Möglichkeit haben, alle Aktivitäten zu sehen und im Kontext zu betrachten.
Sogar wenn APIs so verwendet werden, wie ursprünglich gedacht, kann daraus ein Sicherheitsrisiko entstehen. Bei dem Sicherheitsvorfall, der sich beim Fitness-Dienstleister Peleton ereignete, sah das – vereinfacht dargestellt – so aus: Die Anwendung auf dem Fitnessgerät, welches beim Nutzer zuhause steht, stellt Anfragen über eine API an die Peleton-Server. Die angeforderten Daten werden über die API zurück ans Frontend geleitet. Dabei gab die API allerdings mehr Daten frei, als eigentlich gewünscht. Unsauberheiten in der Programmierung hatten zu dieser Schwachstelle geführt, die im “API Security Top 10”-Report des OWASP (Open Web Application Security Project) als Excessive Data Exposure definiert wird. Denn Angreifer nutzten redundante Daten, um weitere sensible Daten zu extrahieren.
Die 3 Säulen der API-Sicherheit
Durch die schnelle Entwicklung wächst die Angriffsfläche durch APIs ständig. Um diese sich entwickelnde Landschaft effektiv zu schützen, benötigen Sicherheitsverantwortliche eine API-Sicherheitslösung, die die folgenden drei Funktionen bietet:
- Automatische Einsicht in den gesamten API-Verkehr
- Kontinuierliche Analyse zur Laufzeit
- Maßnahmen für proaktive Sicherheit
Vollständige Transparenz des API-Verkehrs
Systeme, Anwendungen und APIs sowie die Daten, mit denen sie interagieren, verteilen sich über mehrere Umgebungen. Sicherheitsverantwortliche brauchen einen Einblick in alle APIs innerhalb und zwischen allen Umgebungen sowie Anwendungen des Unternehmens, um sie schützen zu können. Mit einer exakten Bestandsaufnahme, die regelmäßig wiederholt wird, können Sicherheitsverantwortliche blinde Flecken beseitigen und dauerhaft vermeiden. Ohne eine solche Bestandsaufnahme wird es für den CISO schwer, die gesamte Gefährdung des Unternehmens zu verstehen und Prioritäten für das Risikomanagement setzen.
Kontinuierliche und dynamische Analyse zur Laufzeit
Sicherheitsteams benötigen eine realistische Einschätzung, was als normaler API-Verkehr gelten kann, um Missbrauch oder Angriffe zu erkennen. Bei APIs handelt es nicht nur um reinen Code, in dem Codefehler bei der Entwicklung und beim Testen erkennbar sind. Vielmehr geht es um die Bildung mehrerer Instanzen der Geschäftslogik. Deshalb müssen Sicherheitsverantwortliche APIs in Aktion sehen, um Schwachstellen in dieser Logik zu finden. Das Erkennen von Mustern während der Laufzeit hilft, den Datenverkehr in seinem entsprechenden Kontext zu betrachten und so bösartige Aktivitäten besser zu identifizieren.
Maßnahmen für proaktive Sicherheit
Diese Erkenntnisse aus der Laufzeit und das Wissen um wirksame Abwehrmaßnahmen sollten Sicherheitsverantwortliche in die API-Entwickler-Teams einbringen. Risiken werden so identifiziert, bevor ein Angreifer sie ausnutzen konnte. Gerade in Teams, die DevOps-Methoden nutzen, hilft dies, schon im Development-Prozess einen stärkeren Fokus auf die Sicherheit zu legen und bessere APIs zu entwickeln.
Nutzung von Automatisierung, Big Data und Intelligenz
Um das exponentielle API-Wachstum zu unterstützen, benötigen Unternehmen Lösungen, die in bestehende DevOps- und SecOps-Workflows integriert werden können. Die Erkennung von APIs und von Anomalien sowie die Weitergabe von Erkenntnissen darüber, wie Probleme behoben werden können, sollten automatisch in die CI/CD- und Incident Response-Systeme einfließen.
Um den für die genaue Identifizierung von API-Angriffen erforderlichen Kontext zu erhalten, müssen API-Sicherheitslösungen große Datenmengen (Big Data) mit Hilfe von künstlicher Intelligenz (KI) und Maschine Learning (ML) analysieren. API-Angriffe finden über Tage, Wochen oder Monate statt, da böswillige Akteure die Funktionsweise der APIs akribisch untersuchen müssen, um Fehler in der Geschäftslogik zu finden. API-Sicherheitslösungen müssen in der Lage sein, große Datenmengen über einen langen Zeitraum zu verarbeiten, um Angriffsdaten von normalem Datenverkehr zu unterscheiden. Nur Big Data, gespeichert in einer hochskalierbaren Cloud-Umgebung, kombiniert KI- und ML-Algorithmen, bietet die Möglichkeit, Millionen von Nutzern über Tage, Wochen oder Monate parallel zu verfolgen.
Lücken in der API-Sicherheit gefährden das Geschäft
In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs schwächste Glied in IT-Systemen. Ohne API-Sicherheit können Unternehmen die digitale Transformation nicht umsetzen. Schlimmer noch: API-Schwachstellen gefährden potenzielle Geschäftsgewinne. Sicherheitsverantwortliche müssen sich der Bedrohungen bewusst sein, das Geschäft im Auge behalten und proaktiv handeln. Durch die Implementierung eines speziellen API-Sicherheitsprogramms können Sicherheitsverantwortliche das Unternehmen dabei unterstützen, digitale Innovationen zu beschleunigen, eine sicherheitsorientierte Kultur aufzubauen.
* Daniel R. Wolf ist Regional Director DACH bei Salt Security.
(ID:49042401)
:quality(80)/p7i.vogel.de/wcms/1c/18/1c1865196aa479a37deb7b895bfd1852/0111092959.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/a5/3d/a53d11cd7124c3fcaea64b116eebb805/0109827730.jpeg "Die Autorin: Lisa Smith ist Mitgründerin und Managing Director von Prewave, einer globalen, KI-basierten Supply-Chain-Intelligence-Plattform. (Bild: Prewave)")