API-Design: Optimierung reduziert Risiko für Cyberangriffe

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

API-Design: Optimierung reduziert Risiko für Cyberangriffe

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Von unerklärlicherweise entleerten Autobatterien bis hin zu persönlichen Informationen, auf die über ein Telefonnummern-Lookup zugegriffen wird – ein böswilliger Zugriff auf die API kann verheerende Auswirkungen haben. Unternehmen können sich jedoch schützen, wenn sie das API-Design als Sicherheitsrisiko betrachten und Gegenmaßnahmen einleiten.
IT-Infrastruktur

Quelle: Dmytro Zinkevych/Shutterstock

Selbst scheinbar harmlose unregelmäßige Interaktionen des API-Design (API, Anwendungsprogrammierschnittstelle) können sich als eine Bedrohung darstellen. Dies war der Fall, als eine Kaffeekette eine Online-Bestell-App ausgerollt hatte. Diese API war nach allgemein gültigen Sicherheitsstandards entwickelt und abgesichert und die API-Aufrufe der Kaffeebestellung folgten typischen, etablierten Sicherheitsverfahren und -protokollen. In einem Land stieg jedoch auffällig die Anzahl der Bestellungen, die zwar bezahlt, aber nicht abgeholt wurden. Nach genauerer Prüfung dieses Sachverhaltes stellte das Unternehmen fest, dass fast jedes Geschäft im Land diese Anrufe erhielt, immer mehr als zwei.

Nachdem alle anderen technischen Gründe ausgeschlossen waren, kam das Unternehmen zu dem Schluss, dass automatisierte Anfragen für gefälschte Bestellungen an die API gesendet wurden, um die Bestätigungsantwort zu erhalten, die eine fortlaufende Bestellnummer enthielt. Diese sequenzielle Variable enthielt unbeabsichtigt wichtige Informationen, ließen sich aus ihr doch die Verkaufszahlen in jeder Filiale extrahieren – für mögliche Konkurrenz eine lukrative Information, konnte diese so erkennen, an welchen Standorten sich eine Neueröffnung lohnte. Die API hatte also trotz Einhaltung aller gültigen Sicherheitsstandards ungewollt Firmeninterna preisgegeben.

API-Design: Nutzung ist in den letzten Jahren explodiert

In den letzten Jahren ist die API-Nutzung explodiert. Heute gibt es mehr als 22.000 APIs, die im ProgrammableWeb durchsucht werden können. APIs, der Klebstoff, der die vernetzte Welt zusammenhält, sind was Anzahl und Fähigkeiten betrifft schnell gewachsen. Im Gegensatz zu herkömmlichen Webformularen sind sie schneller, leistungsfähiger, leider aber auch schwerer zu schützen. Gartner prognostiziert, dass API-Missbräuche bis 2022 die häufigsten Angriffsziele sein werden. In der Regel gut dokumentiert, bieten APIs Anweisungen für die Verbindung von Menschen, Orten und Dingen, um nahtlose Integrationen, reichhaltigere Erfahrungen und neue Umsatzmodelle zu schaffen. Wenn eine API missbraucht wird, dann kann die Belastung erheblich sein.

Doch selbst wenn ein Verstoß nach dem anderen aufgedeckt wird, die meisten Unternehmen tun immer noch nicht genug, um den API-Missbrauch zu begrenzen. Firmen unternehmen zwar große Anstrengungen, um ihre Anwendungen und Webseiten zu schützen, lassen aber mit ungeschütztem API-Zugang die Hintertür weit offen. Nur weil eine API nicht direkt exponiert scheint, bedeutet das nicht, dass sie nicht anfällig für einen Verstoß ist. Ein API-Aufruf ist nicht dasselbe wie ein Webseitenaufruf und Anwendungssicherheitskontrollen schützen das API-Design nicht. Generell ist API-Missbrauch schwer zu verhindern, besonders wenn niemand hinsieht.

API-Design: Beheben von Schwachstellen

Wenn beim API-Design Schwachstellen entdeckt werden, sind sie nicht immer einfach zu reparieren. Während ein Drittel der Anrufe von Webbrowsern kommt, die eine einfachere Kontrolle und Beheben von Schwachstellen ermöglichen, sind die restlichen zwei Drittel direkte Kommunikation zwischen Maschinen. Beispielsweise Im Falle von IoT-Devices und Hintergrundkommunikation von Apps in Spielkonsolen, Smartphones oder Tablets.

Die Software in vielen angeschlossenen Geräten ist nicht einfach zu aktualisieren und zu warten. IoT Geräte werden auch heute noch gerne ohne Protokolle für Software-Updates ausgeliefert, und wenn Schwachstellen gefunden werden, ist die Wahrscheinlichkeit, dass sie gepatcht werden, äußerst gering. Wie oft aktualisieren Benutzer die Firmware eines angeschlossenen Babyphones oder einer Kaffeemaschine?

API-Design: Unverändertes Angriffsverhalten

Es gibt gute und schlechte Nachrichten über die Angriffe auf APIs. Die gute Nachricht ist, dass das Angriffsverhalten in den vergangenen Jahren typologisch fast unverändert geblieben ist. Zu den weit verbreiteten Taktiken gehören unter anderen Distributed Denial of Service (DDoS)-Angriffe, die die Verfügbarkeit unterbrechen oder Ressourcen überlasten, direktere Angriffe auf die Web-Infrastruktur in dem Versuch Schwachstellen auszunutzen und so Informationen zu sammeln, und Insider-Bedrohungen, die Eindringlinge in den Datenfluss einführen oder Malware, Spyware oder Ransomware in Systeme einbringen.

Unglücklicherweise sind diese Angriffe aber über die Zeit nicht nur in der Intensität gestiegen, auch die Ausführungsqualität ist immer besser geworden, was eine Erkennung und Bekämpfung erschwert. Beim grassierenden Datendiebstahl ist inzwischen zusätzlich die Ausnutzung von schwachen oder gestohlenen Zugangsdaten an der Tagesordnung. Und schlussendlich gibt es noch die missbräuchliche Verwendung von APIs, wie das Anwendungsbeispiel der Kaffeebestellung zeigt.

API-Design: Kommunikation von Maschine zu Maschine

Eine weitere schlechte Nachricht ist, dass APIs einfacher anzugreifen sind als herkömmliche Webformulare, wobei sich diese Angriffe schneller verbreiten, da APIs die Kommunikation von Maschine zu Maschine erleichtern. Angreifer profitieren ebenfalls von der Verbreitung der APIs. Selbst wenn Unternehmen Sicherheitskontrollen auf APIs anwenden, können sie oft nicht mit der Geschwindigkeit mithalten, mit der Entwicklungsteams APIs einführen, oder die IT, wenn eine Abteilung einen neuen Drittanbieterdienst nutzt.

Entwicklung sicherer APIs

APIs wurden entwickelt, um schnelle und klar strukturierte Maschine-zu-Maschine Kommunikation im Netz zu ermöglichen. In Unternehmen beschleunigen APIs die Innovation, indem sie sich schneller an die Benutzeranforderungen anpassen und die Stabilität der Anwendungsdienste verbessern. APIs erleichtern den Alltag und tragen dazu bei, die Kundenzufriedenheit und damit die Geschäftsergebnisse zu verbessern. Um ein sichereres API-Design zu entwickeln, das weniger wahrscheinlich ein Einfallstor für Angriffe bietet, sollten Entwickler das Nutzungsmodell, den Benutzer und die operative Rolle jeder API berücksichtigen.

Für das API-Nutzungsmodell sollten Entwickler die jeweiligen Benutzer und Anwendungsfälle identifizieren und priorisieren, um künftig verdächtige Aktivitäten leichter zu erkennen. Beispielsweise sollte eine Partnerfirma, die eine Bestellung aufgibt, nicht den gleichen Zugang haben wie ein Werkstudent. Folgende Fragen sollten daher beantwortet werden:

  • Was sind die Anwendungsfälle für die API?
  • Wer sind die vorgesehenen Benutzer?
  • Wer sind die aktuellen Benutzer?
  • Welche Benutzergruppen sollen bevorzugt behandelt werden?

Sobald die Zielgruppe und die Anwendungen definiert sind, müssen Entwickler zusätzliche Datenpunkte innerhalb der API erstellen, um die Benutzer zu unterscheiden. Mit einer besseren Benutzeridentifikation ist es viel einfacher, anomales Verhalten zu verfolgen. Manchmal können legitime API-Benutzer auch unvorhersehbare Belastungen verursachen, wissentlich oder unwissentlich. In einem Beispiel für eine übermäßige API-Nutzung empfing ein asiatisches Unternehmen eine ungewöhnlich hohe Menge an Traffic auf eine seiner Webadressen und erreichte 875.000 Anfragen pro Sekunde an einem Punkt.

Eine erste Bewertung zeigte alle Merkmale eines großen DDoS-Angriffs – der Vorfall war jedoch kein Angriff. Tatsächlich gab es ein Problem mit einem genutzten Tool, das aufgrund einer Änderung falsch reagierte. Als die Sicherheitsabteilung mit der Filterung des Datenverkehrs begann, um das Backend zu schützen, war diese Tatsache noch nicht bekannt. Das Tool versuchte weiterhin das Ziel zu erreichen, scheiterte jetzt aber an den eingerichteten Regeln. Eine zeitnahe Überprüfung des Datenverkehrs konnte dann eine Bösartigkeit ausschließen. Das Unternehmen und der Toolhersteller bestätigten die Schlussfolgerung der Fehlkonfiguration, und innerhalb weniger Stunden wurde ein Fix an die betroffenen Systeme geschickt.

API-Design: wichtige Risiken absichern

Doch wie können APIs geschützt werden? Welche Prozesse sollten eingehalten werden? Zuallererst müssen Unternehmen erkennen und akzeptieren, dass APIs signifikante Risiken darstellen, wenn sie nicht angemessen gesichert sind, und tatsächlich etwas dagegen unternehmen wollen. Ist das geschehen, dann könnte dieser Plan verfolgt werden:

  • Erste Woche: Bewertung des API-Ökosystems und Identifizieren potenzieller Sicherheitsrisiken (siehe Kasten)
  • Innerhalb von drei Monaten: Verstehen, wer auf APIs zugreift und Definition geeigneter Sicherheitsmaßnahmen
  • Innerhalb von sechs Monaten: Eine Sicherheitslösung wählen, die einen proaktiven API-Schutz ermöglicht und der auf die Bedürfnisse des Unternehmens zugeschnitten ist. Das Projekt vorantreiben, um alle APIs zu schützen, sowohl öffentliche als auch private.

Da viele APIs offen wie ein Scheunentor sind, werden sie zunehmend zu einem beliebten Angriffsziel. Über einen Zeitraum von zwei Monaten sammelte Akamai Daten über mehr als acht Milliarden Credential Stuffing Angriffsversuche.

Gerhard Giese AkamaiQuelle: Akamai

Über den Autor: Gerhard Giese ist Manager des Enterprise Security Teams bei Akamai Technologies. Mit über 20 Jahren Erfahrung im IT-Sicherheitssektor bietet er mit seinem internationalen Team aus Spezialisten technische Beratung für Lösungen zur Web- und Rechenzentrums-Sicherheit.

Beispiele für Sicherheitsrisiken im Umgang mit APIs

Entwickler möchten sowohl öffentlichen als auch privaten Code über GitHub wiederverwenden und teilen. Dies ist eine gängige Praxis, um die Entwicklung zu beschleunigen und das Wissen der gesamten Entwicklergemeinschaft zu nutzen. Allerdings werden API-Schlüssel und SSL-Schlüssel manchmal versehentlich hochgeladen, und die Hacker wissen das. Es ist wichtig, die Sauberkeit der Daten zu gewährleisten und nur die notwendigen Daten auszutauschen.

DevOps-Teams verwenden APIs, um den Betrieb ihrer Netzwerke über mehrere Clouds hinweg zu automatisieren. Dies ist die einzige Möglichkeit, Operationen zu skalieren, um täglich Tausende von Operationen auszuführen. Und hier liegt ein Sicherheitsrisiko. Viele dieser APIs müssen öffentliche IP-Adressen verwenden, um für alle zugänglich zu sein. Doch es gibt keine sichere Möglichkeit, eine mit dem Internet verbundene API erfolgreich zu verstecken – bestenfalls schützt sie nur vor halbherzigen Angriffen aus einfachen Skripten. Leider sind nur wenige Werkzeuge erforderlich, um die API-Exposition und die potenzielle Angriffsfläche zu identifizieren.

Einige dieser Tools stehen kostenlos zum Download oder in Teilen von Linux-Repositories zur Verfügung. Netzwerk-Mapper: Network Mapper (Nmap) ist ein Open-Source-Dienstprogramm für die Netzwerkerkennung und Sicherheitsüberprüfung unter https://nmap.org/. Es ist flexibel in der Unterstützung von Dutzenden von Techniken zur Abbildung von Netzwerken vom Port-Scanning und Ping Sweeps bis hin zum Betriebssystem (OS) und der Versionserkennung. Dieses Tool wird von den meisten Betriebssystemen unterstützt und ist in vielen Varianten erhältlich, sogar in einer Version mit einer grafischen Benutzeroberfläche (GUI) für die herausgeforderte Tastatur. Die Anwendung ist einfach: Mit einer Zeile Bash-Code kann das Tool schnell ein ganzes Netzwerk scannen, um festzustellen, ob Schwachstellen bestehen.

Als Teil einer Standard-Administrator-Toolbox wurde Nmap bis vor kurzem unauffällig verwendet. Nmap ist zwar hilfreich bei der Verhinderung von Angriffen, wurde aber auch häufig missbraucht, so dass Angreifer unsichere Einstiegspunkte entdecken können. Der Missbrauch hat dieses wertvolle Instrument in den Mittelpunkt einer allgemeinen Debatte über die Rechtmäßigkeit von Port-Scanning-Tools gestellt.  Angesichts der Kontroverse um die Port-Scans ist es ratsam, zunächst die möglichen rechtlichen Auswirkungen zu verstehen und eine vorherige Genehmigung einzuholen, bevor Nmap verwendet wird, um unbeabsichtigte Folgen zu vermeiden.

Obwohl Nmap eine hilfreiche Lösung zur Identifizierung von APIs ist, fehlt es ihm an Geschwindigkeit und ein wenig an Intelligenz. Für die weitere Aufklärung ist Fierce ein aggressiveres Instrument zur Sammlung von Informationen. Wo Nmap passiv bleibt, versucht Fierce aktiv, Domain Name System (DNS)-Server auszunutzen (obwohl keine tatsächliche Ausnutzung mit dem Tool selbst durchgeführt wird), indem es eine häufige Fehlkonfiguration verwendet: uneingeschränkte Zonenübertragungsinformationen.

Zonenübertragungsinformationen umfassen die komplette Zonenkonfiguration einschließlich aller registrierten Geräte sowie deren Namen und IP-Adressen. Diese Intelligenz ist von großem Wert für Angreifer. Wenn das DNS korrekt eingerichtet ist, beginnt das Tool mit der Suche nach typischen Hostnamen wie auth., api. oder developer., was zu einer Liste von Namen und IP-Adressen führt. In einem zweiten Schritt führt das Tool ein Reverse Lookup durch, indem es IPs im +/- Bereich der gefundenen Adressen verwendet, was zu einer Liste neuer Hostnamen führt – attraktive Angriffsziele. Dieses Tool wird hauptsächlich von Aggressoren verwendet. Indem sie die die Erkenntnisse verstehen, die Fierce über das Firmennetzwerk gewinnt, können Unternehmen die passenden Sicherheitsmaßnahmen einführen.

Lesen Sie auch: Sicherheitsbedrohungen: Die drei größten Irrtümer über Threat Hunting

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
1 Kommentar
Oldest
Newest
Inline Feedbacks
View all comments
Emma Skafte
Emma Skafte
29. April 2020 19:53

Das Risiko von Fehlern und Versaumnissen ist deutlich reduziert, da die Sicherheit direkt bei der Implementierung integriert wird Ungeachtet der Versprechen der APIs darf die Investition, die eine solche Implementierung darstellt, nicht unterschatzt werden. „

Andere Leser haben sich auch für die folgenden Artikel interessiert

Seit der Präsentation im Oktober 2019 musste das von Bundeswirtschaftsminister Peter Altmaier angekündigte Projekt Gaia-X viel Kritik einstecken. Allerdings würde eine europäische Cloud ein Gegengewicht zu den US-amerikanischen Cloud-Konzernen bilden. Ein Kommentar von Marcus Busch, Geschäftsführer von Leaseweb.
Wer glaubt, heute noch ohne genügend Bewertungen auszukommen, irrt gewaltig. Ob Amazon, Google, Facebook oder Tripadvisor, eines gilt immer: Bewertungen haben große Auswirkungen auf die Anzahl der Verkäufe sowie das Ranking eines Unternehmens. Sind Verbraucher früher den Kaufempfehlungen von Freunden gefolgt, entscheiden heute Rezensionen über einen Kauf.
Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Geschäftsmodelle in der Industrie 4.0

So führen Sie Ihr Unternehmen erfolgreich in die digitale Zukunft

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.