Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Jul 13, 2023
Google: Mit der Cloud kommen APIs und Sicherheitsprobleme
Robert Lemos | 27. Dezember 2022 Webanwendungsprogrammierschnittstellen (APIs) sind
Robert Lemos | 27. Dezember 2022
Web-Anwendungsprogrammierschnittstellen (APIs) sind der Kitt, der Cloud-Anwendungen und -Infrastruktur zusammenhält, doch diese Endpunkte werden zunehmend angegriffen, wobei die Hälfte der Unternehmen in den letzten 12 Monaten einen API-bezogenen Sicherheitsvorfall zugibt.
Laut einer von Google Cloud durchgeführten Umfrage sind Sicherheitsfehlkonfigurationen, veraltete APIs und Komponenten sowie Spam- oder Missbrauchs-Bots die problematischsten Sicherheitsprobleme, die sich auf die Nutzung von APIs durch Unternehmen auswirken – wobei 40 % der Unternehmen einen Vorfall aufgrund von Fehlkonfigurationen erleiden und ein Drittel damit zurechtkommt mit den letzten beiden Problemen.
Zwei Drittel der Unternehmen (67 %) stellten während der Testphase API-bezogene Sicherheitsprobleme und Schwachstellen fest, aber die meisten Unternehmen – mehr als 60 % – entdeckten Probleme während des Softwareentwicklungsprozesses, während der Anwendungsbereitstellung und durch Echtzeitüberwachung , so die Umfrage unter mehr als 500 Technologieführern.
Trotz dieser Probleme sind mehr als drei Viertel (77 %) zuversichtlich, dass sie Probleme erkennen werden, und geben an, dass sie über die erforderlichen API-Tools und -Lösungen verfügen, sagt Vikas Anand, Produktleiter für Geschäftsanwendungsplattformen bei Google Cloud.
„Es besteht ein Eindruck von Vertrauen in bestehende Werkzeuge, für den es keine Belege gibt“, sagt Anand. „Die Sicherheitslandschaft hat sich verändert – mit dem dramatischen Wachstum des API-Volumens sind APIs das neue Schlachtfeld für Anwendungssicherheit.“
Das Interesse an Web-APIs entsteht, da Unternehmen in den letzten zwei Jahren nach den durch die Coronavirus-Pandemie verursachten Geschäftsunterbrechungen ihre digitale Transformation beschleunigt haben. Fast alle (93 %) der von Google in einer zweiten Studie mit 770 Technologieführern befragten Unternehmen bezeichneten ihre Abläufe als „hauptsächlich Cloud-basiert“, ein Anstieg gegenüber 83 % vor zwei Jahren.
Im Gegensatz dazu ging die Zahl der Unternehmensentscheider, die ihre Abläufe als „größtenteils vor Ort“ bezeichnen, im gleichen Zeitraum um die Hälfte von 16 % auf 7 % zurück.
Einer Schätzung zufolge haben API-bezogene Sicherheitsvorfälle seit 2020 Verluste in Höhe von 12 bis 23 Milliarden US-Dollar verursacht. Und die Angriffsfläche wird immer größer: Das durchschnittliche große Unternehmen verfügt über dreimal so viele APIs – 15.600 – wie vor einem Jahr.
Während 46 % der befragten Unternehmen die Nutzung von APIs nur innerhalb ihrer eigenen Organisation vorsahen, erlaubten mehr als die Hälfte (54 %) Partnern, Kunden und anderen externen Entwicklern, die APIs zu nutzen, um die Entwicklung Dritter voranzutreiben, wie Google herausgefunden hat.
„APIs sind für die Modernisierung von Anwendungen und die digitale Transformation von entscheidender Bedeutung, da sie zusammen mit Microservices die schnelle Bereitstellung neuer Erfahrungen für Kunden ermöglichen und gleichzeitig die Kosten für Entwicklung und Wartung senken“, erklärte Google Cloud in seinem Bericht „The Digital Crunch Time: 2022 State of“. Bericht „APIs und Anwendungen“.
Da APIs für ihre digitale Transformation von entscheidender Bedeutung sind, haben Unternehmen klugerweise Investitionen in die API-Sicherheit priorisiert: 60 % streben danach, ihre Fähigkeit zur proaktiven Erkennung von Sicherheitsbedrohungen zu verbessern, und 57 % setzen auf mehr Sicherheitsautomatisierung und Orchestrierung, so der zweite Bericht von Google Cloud, „API Sicherheit: Neueste Erkenntnisse und wichtige Trends.“
Etwa die Hälfte der Unternehmen beabsichtigt außerdem, die Echtzeitüberwachung von API-Servern auszubauen und Systeme mit künstlicher Intelligenz und maschinellem Lernen (KI/ML) zu nutzen, um Schwachstellen besser zu entdecken und Angriffe zu erkennen.
„Da Unternehmen von reaktionärer Haltung zu proaktivem Umgang mit diesen Bedrohungen übergehen, werden wir erleben, dass KI/ML-Modelle in Sicherheitstools immer weiter verbreitet werden“, sagt Anand. „ML-basierte Regeln sind die natürliche Weiterentwicklung davon – nicht nur Automatisierung, sondern kontinuierliches Lernen aus diesen Erfahrungen.“
Es überrascht nicht, dass Unternehmen, die mehr Erfahrung mit APIs haben, auch mehr Erfolg bei der Umstellung auf stärker cloudnative Abläufe hatten.
Etwa ein Drittel der Unternehmen (34 %) gaben an, dass sie einen ausgereiften API-Ansatz verfolgen, eine API-First-Strategie in allen Organisationen vorantreiben und eine API-Management-Plattform verwenden. Diese Unternehmen hatten im Vergleich zu Unternehmen mit geringerer API-Reife auch mehr Erfolg bei der Steigerung der Effizienz, der besseren Zusammenarbeit und der verbesserten Agilität.
Google Cloud definiert Organisationen mit niedrigem Reifegrad als solche mit isolierten APIs, keiner zentralen Verwaltung von APIs und möglicherweise einem API-Gateway für die Sicherheit.
„Unsere Studie zeigt, dass ausgereifte API-Organisationen bei ihren Bemühungen zur digitalen Transformation im Vergleich zu API-Organisationen mit niedrigem Reifegrad deutlich voraus sind“, so der Anbieter. „Technologieführer verstehen bereits den Wert, den APIs mit sich bringen.“
Für Unternehmen, die auf eine API-basierte Anwendungsinfrastruktur umsteigen, gilt die API-Sicherheit als die wichtigste Komponente eines API-Programms. Laut dem Bericht von Google halten 66 % der Unternehmen sie für wichtig. Weitere Hauptanliegen waren API-Leistungsanalyse und API-Governance.
„API-Sicherheit muss letztendlich Teil der gesamten End-to-End-Sicherheitsstrategie sein“, sagt Anand. „Nahtlose Integrationen zwischen allen Sicherheitsprodukten erleichtern die Steigerung des gesamten Sicherheitswerts Ihres Portfolios.“
Lesen Sie die ganze Geschichte auf unserer Schwesterseite Dark Reading.
Weitere Informationen zu Textformaten