Under Attack?
Search
Menu

4 Annahmen, die effektiven API-Schutz verhindern

By Yaron AzerualFebruar 23, 2022

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch

Es ist kein Geheimnis, dass jede moderne Applikation auf APIs zurückgreift, um mit ihren verschiedenen Komponenten, ihren Benutzern und manchmal mit externen Services zu interagieren. Im Jahr 2021 ist die API-Nutzung sprunghaft angestiegen. Wie aus Marktstudien hervorgeht, hat der API-Angriffsverkehr dreimal so stark zugenommen wie der gesamte API-Datenverkehr. Darüber hinaus schätzt Gartner, dass 2021 mehr als 50 % aller Datendiebstähle auf ungeschützte APIs zurückzuführen waren.

Warum hat der API-Schutz nicht mit der API-Nutzung Schritt gehalten? Berichte von Unternehmen über ihre API-Schutzstrategien lassen vermuten, dass einige falsche Annahmen bestehen, die dazu führen, dass APIs für Bedrohungen anfällig sind.

1. Annahme: Meine WAF schützt meine Applikationen und ihre APIs

Diese Annahme ist in gewissem Maße berechtigt, doch APIs sind auch vielen Bedrohungsvektoren ausgesetzt, denen die meisten Web Application Firewalls (WAF) nicht standhalten können.

Erstens wurden die meisten WAF-Lösungen für die Abdeckung der Schwachstellen von Webapplikationen entwickelt. APIs hingegen erfordern spezielle Analysen, z. B. die Möglichkeit, ihre Inhalte zu analysieren und mit dem API-spezifischen Schema zu vergleichen. Standard-WAFs stellen solche Funktionen in der Regel nicht bereit.

Zweitens basieren die meisten WAF-Lösungen (insbesondere verwaltete Cloud-WAF-Services) ausschließlich auf negativen Sicherheitsmodellen. Dadurch schützen die Lösungen nur begrenzt vor Zero-Day-Angriffen, d. h. vor unbekannten Angriffen ohne bestehende Signatur. Auf der OWASP-Liste der zehn wichtigsten API-Angriffsvektoren finden sich viele Arten von Angriffen, die sich mit einem negativen Sicherheitsmodell nicht abdecken lassen. Sie erfordern ein positives Sicherheitsmodell und Verhaltensanalysen, um zu bestimmen, ob der API-Aufruf bösartig ist oder nicht. Diese Funktion fehlt in den meisten WAFs.

Und dann gibt es noch automatisierte Drohungen, darunter schädliche Bots, die für APIs ein echtes Problem darstellen. Wie können Sie zwischen einem bösen Bot und einem legitimen Maschine-zu-Maschine-Aufruf unterscheiden? Fortschrittliche Bot-Management-Lösungen, die auch API-Aufrufe analysieren können, schützen gegen schädliche Bot-Angriffe, wie z. B. Kontoübernahme, Daten-Scraping und andere DoS-Angriffe auf Applikationen. Keine WAF kann derzeit mit dieser Funktion aufwarten.

[Das könnte Sie auch interessieren: Fünf häufige Irrtümer beim Applikationsschutz]

2. Annahme: Mein API-Gateway verwaltet und schützt meine APIs

API-Gateways wurden für verschiedene Aufgaben entwickelt: Verwaltung des API-Lebenszyklus, Übersetzung von Protokollen, Weiterleitung von API-Aufrufen an das richtige Ziel und Kontingentmanagement, damit die Serverressourcen zur Verarbeitung der API-Aufrufe nicht überlastet oder missbraucht werden.

Darüber hinaus authentifizieren API-Gateways die Entität, die den API-Aufruf tätigt. Damit wird sichergestellt, dass diese Entität zur Durchführung jedes spezifischen Aufrufs befugt ist. Manche API-Gateways verfügen zudem über eine integrierte, Signatur-basierte Engine, die einen zusätzlichen Schutz für die verarbeiteten API-Aufrufe bedeutet. Diese Funktionen sind alle wichtig, reichen aber für effektiven API-Schutz nicht aus. Bis heute gibt es keine API-Gateway-Lösung, die API-Schutz anhand einer Engine mit positivem Sicherheitsmodell, Bot-Schutzfunktionen, Verhaltensanalysen und DoS-Schutz für Applikationen umfasst.

Wussten Sie, dass alle API-Aufrufe zentralisiert durch API-Gateways geleitet werden? Dies gilt jedoch nur für bekannte und verwaltete APIs. Die zahlreichen nicht dokumentierten und nicht verwalteten APIs, die in vielen Unternehmen vorliegen, bleiben folglich außer Betracht. Und was man nicht kennt, kann man natürlich auch nicht schützen.

Des Weiteren sind die meisten API-Gateways mit Hooks für die Integration von API-Schutzlösungen anderer Anbieter ausgestattet. Dies ist ein klares Zeichen der API-Anbieter, die wissen, dass ihre API-Gateways die damit verwalteten APIs nur begrenzt schützen können.

3. Annahme: Meine APIs sind gut dokumentiert, was effektiven Schutz ermöglicht

Effektiver API-Schutz setzt tatsächlich voraus, dass Sie die API-Struktur, die möglichen Parameter, den Wertetyp und -bereich sowie den erwarteten Inhalt des API-Bodys genau kennen. Gut dokumentierte APIs in Verbindung mit einer guten API-Schutzlösung können die Sicherheit dramatisch erhöhen.

Allerdings sind meistens nicht alle APIs dokumentiert, die ein Unternehmen nutzt. Und selbst wenn dies doch der Fall sein sollte, ändern sich APIs häufiger als Applikationen. Folglich müssen ihre Dokumentation und die Sicherheitsrichtlinien regelmäßig aktualisiert werden – eine Aufgabe, die häufig vernachlässigt wird. Deshalb vertrauen die meisten Sicherheitsarchitekten auch nicht auf die API-Dokumentation.

Jede effektive API-Schutzlösung muss automatische API-Erkennung beinhalten. Dies bedeutet, dass nicht nur das Vorhandensein der API, sondern auch ihre Struktur (d. h. ihr Schema), ihre Parameter, der Typ der Parameter und die Wertebereiche erkannt werden. Eine gute Erkennungs-Engine ist zudem in der Lage, automatisch eine maßgeschneiderte Sicherheitsrichtlinie zu generieren und anzuwenden, die einen effektiven Schutz der erkannten APIs gewährleistet. Dies ist die beste Vorgehensweise, um APIs über den gesamten Lebenszyklus effektiv zu schützen.

[Das könnte Sie auch interessieren: How To Achieve Application Protection Behind AWS/Azure CDN]

4. Annahme: Ich besitze eine spezielle API-Schutzlösung – das genügt

Mit einem guten API-Schutz, der den Empfehlungen dieses Artikels entspricht, wird schon einmal eine solide Grundlage geschaffen. Aber eben nur eine Grundlage – die für den umfassenden Schutz Ihrer Applikation nicht ausreicht. APIs kommen nie unabhängig vor. Sie sind immer Teil einer Applikation. Diese Applikation wird in einer Infrastruktur bereitgestellt. Hacker, die über APIs keinen Zutritt finden, suchen nach einer Schwachstelle der Applikation, die nichts mit der API zu tun hat. Sie können einen Bot-Angriff starten oder einfach mit einem DDoS-Angriff die Infrastruktur unter Beschuss nehmen.

Applikationsschutz muss ganzheitlich betrachtet werden, was bedeutet, dass Sie alle Bereiche abdecken müssen. Ihr Schutz ist nur so stark wie sein schwächstes Glied.

API-Schutz bildet nur eine der wesentlichen Komponenten Ihrer Gesamtarchitektur für Applikationsschutz. Weitere Maßnahmen sind eine starke WAF, Bot-Management, Bedrohungsinformationen und DDoS-Schutz. Wenn Sie diese Lösungen an zentraler Stelle verwalten und synchronisieren können, werden Ihre Applikationen und APIs effektiv geschützt.

Möchten Sie mehr erfahren? In unserem Webinar erhalten Sie weitere Informationen über Best Practices, mit denen Sie die Sicherheitslücken schließen können, die in diesem Artikel vorgestellt wurden.

Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.

Posted in: Application Security

Yaron Azerual

Yaron Azerual is a senior product marketing manager at Radware bringing 27 years of engineering, product management and product marketing experience from both large corporations such as Lucent, Avaya as well as from smaller companies and startups such as Alvarion and Wavion. Yaron brings deep understanding of both the development aspects of communication and security products and of the customer challenges those products should solve. He holds a bachelor's in electrical engineering from Tel Aviv University.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
Close

What are you looking for?