API-sicherheit

Schützen Sie sensible Daten und kritische Businesssysteme

WAS UNSERE LÖSUNG BIETET

INTELLIGENTERE LÖSUNGEN FÜR

DIE API-SICHERHEIT

Immer mehr Unternehmen setzen heute auf APIs. Mit jeder neuen Programmierschnittstelle bieten Sie Cyberkriminellen aber auch eine weitere Möglichkeit, sich Zugang zu Ihren Daten, Applikationen und Businesssystemen zu verschaffen. Natürlich verfügen API-Gateways und Anbieter von IAM-Lösungen über grundlegende Sicherheits-Features, um APIs vor den üblichen Bedrohungen zu schützen, aber auch die Hacker schlafen nicht. Sie nutzen mittlerweile das gesamte Spektrum, von Social Engineering bis hin zur sprichwörtlichen „Brechstange“, um solche eher simplen Sicherheits-Tools auszuhebeln und auf Ihre kritischen Daten und Systeme zuzugreifen.

 

Um Ihre APIs zuverlässig zu schützen, sind leistungsstarke Sicherheitsmechanismen erforderlich. Sie sollten aber auch in der Lage sein, auffällige Aktivitäten zu erkennen, sobald ein Angreifer die erste Verteidigungslinie durchbrochen hat. Auf diese Weise können Sie umgehend aktiv werden, wenn kriminelle Verhaltensmuster aufgedeckt werden. PingIntelligence für APIs bietet genau das und macht so den Schutz Ihrer APIs ein ganzes Stück smarter.

WAS UNSERE LÖSUNG BIETET

HÄUFIGE LÜCKEN BEI DER API-SICHERHEIT SCHLIESSEN

API-Management-Tools bieten wichtige Sicherheits-Features für den Schutz Ihrer APIs, wie zum Beispiel User-Authentifizierung und Volumen-Limits. Auf diese Weise sorgen sie dafür, dass interne Benutzergruppen, Partner, Kunden und externe Entwickler sicher auf Ihre Ressourcen zugreifen können. Allerdings sind diese Tools meist nicht in der Lage, Angriffe zu stoppen, die sich speziell gegen APIs und die über sie zugänglichen Daten und Systeme richten. Und eben weil es für Hacker so attraktiv ist, über APIs illegal auf Daten und Systeme zuzugreifen, haben sie mittlerweile zahllose Methoden entwickelt, um herkömmliche Sicherheitslösungen auszutricksen. Die gute Nachricht lautet: Mithilfe intelligenter Schutzmechanismen lassen sich die häufigsten API-Angriffe stoppen, bei denen traditionelle API-Sicherheits-Tools versagen.

LÜCKE NR. 1: LOGIN-ANGRIFFE

Die Systemanmeldung ist ein beliebtes Einfallstor für API-Angriffe. Zwar weisen API-Managementsysteme ungültige Anmeldeversuche zurück, sie verfügen aber nicht über geeignete Mechanismen, um zu verhindern, dass ein Client laufend neue Kombinationen ausprobiert. Viele Hacker halten die Anfragehäufigkeit dabei bewusst unter den entsprechenden Schwellen und wechseln regelmäßig ihre IP-Adresse. Das erschwert die Kontrolle und führt dazu, dass erfolgreiche Zugriffsversuche oft nicht entdeckt werden.

 

Zudem können Hacker versuchen, durch Man-in-the-Middle-Angriffe API-Schlüssel oder -Token zu stehlen. Bei dieser Angriffsform werden Anwender dazu verleitet, sich auf einem scheinbar legitimen Server anzumelden. Dieser greift dann den eingegebenen Token oder Schlüssel ab, und der Hacker nutzt diese, um auf API-Services zuzugreifen. Da in solch einem Fall korrekte Anmeldedaten vorgelegt werden, erkennt das API-Managementsystem den Vorgang nicht als Angriff.

LÜCKE NR. 2: DDoS-ANGRIFFE AUF APIs

DDoS-Angriffe wurden ursprünglich entwickelt, um die Sicherheitssysteme eines Unternehmens durch massive Anfragen lahmzulegen. DDoS-Angriffe auf APIs werden aber oft über viele verschiedene Clients gestartet. Weil dabei jeder einzelne Client ein normales Traffic-Volumen sendet, sind diese Angriffe ohne Analyse der aggregierten Traffic-Menge für jeden einzelnen API-Service nur schwer zu erkennen. Versierte Hacker prüfen zudem das jeweilige Volumen-Limit und passen ihre Traffic-Frequenz entsprechend an, um nicht entdeckt zu werden. Zwar nutzen auch API-Managementsysteme Volumen-Limits, um die Aktivitäten einzelner Clients zu kontrollieren, aber sie sind meist nicht in der Lage, verschiedene Clients zu bündeln und deren aggregierte Traffic-Rate anzuzeigen – was nötig wäre, um distribuierte DDoS-Angriffe zu stoppen.

LÜCKE NR. 3: ANGRIFFE AUF APPLIKATIONEN UND DATEN

Wie verwundbar Daten und Anwendungen sind, hängt nicht zuletzt von der jeweiligen API-Funktionalität ab. So wäre es eher unwahrscheinlich, dass eine API, deren Read-Only-Funktionalität eine Schwachstelle aufweist, zum Ziel eines Injektionsangriffs wird. Allerdings sind in der Regel diverse Funktionalitäten von Schwächen betroffen. Folglich sind folgende Angriffsvarianten möglich:

 

  • Datenextraktion oder -diebstahl: Statt über ein einziges Nutzerkonto ins System einzudringen, könnte ein Hacker seinen Angriff so programmieren, dass Informationen von mehreren Konten gesammelt werden.  

  • Datenlöschung oder -manipulation: Ein unzufriedener Mitarbeiter könnte Daten löschen, um so Systeme zu sabotieren oder ein Hacker könnte Daten manipulieren, um bestimmte Informationen zu verändern.

  • Dateninjektion in einen Anwendungsservice: Ein Hacker könnte umfangreiche Dateien hochladen, um den Systemspeicher außer Gefecht zu setzen oder exzessive Datenmengen injizieren, um einen API-Service zusammenbrechen zu lassen.

  • Einschmuggeln schädlicher Codes: Ein Hacker könnte zum Beispiel einen Keylogger injizieren, der sich auch auf andere Anwender auswirkt, die auf den Service zugreifen.

  • Extreme Anwendungsaktivität: Ein Hacker könnte Aufrufe generieren, die ungewöhnlich viele Systemressourcen binden und so die Ansprechzeit des Servers verlangsamen.

LÜCKE NR. 4: UMFASSENDE TRANSPARENZ BEIM API-TRAFFIC

Die Verwaltung des API-Zugriffs erfordert umfassende Informationen zu allen API-Aktivitäten – für das Compliance-Reporting ebenso wie für forensische Untersuchungen, Nutzungstrendanalysen und die Fehlersuche bei komplexen Anwendungen. Dabei sollten alle API-Interaktionen verfügbar sein, einschließlich aller Methoden oder Befehle, die im Rahmen einer Session angewendet wurden. Diese Informationen sind erforderlich, um historische Aktivitäten untersuchen zu können, die möglicherweise mit einem Angriff im Zusammenhang stehen, die Einhaltung von Compliance-Vorgaben nachzuweisen und Aussagen zur API-Nutzung treffen zu können. Zudem sollten auch Reporting-APIs verfügbar sein, die Dashboards und Reporting-Apps mit entsprechenden Informationen versorgen.

ERFAHREN SIE MEHR ÜBER DIE API-SICHERHEITSLANDSCHAFT UND IHRE RASANTE VERÄNDERUNG.