Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Apr 28, 2023
FireTail-Bericht stellt fest, dass es nur wenige, aber tödliche API-Sicherheitsverstöße gibt
Home » Security Boulevard (Original) » FireTail-Bericht stellt API-Sicherheit fest
Home » Security Boulevard (Original) » FireTail-Bericht stellt fest, dass es nur wenige, aber tödliche API-Sicherheitsverstöße gibt
Eine von FireTail, einem Anbieter einer Plattform zur Sicherung von Anwendungsprogrammierschnittstellen (APIs), durchgeführte Analyse von Cybersicherheitsverstößen im Jahr 2022 ergab nur 12 öffentlich registrierte Verstöße im Zusammenhang mit APIs, wobei im Jahr 2023 bisher sechs weitere offengelegt wurden.
Allerdings liegt die durchschnittliche Größe der Gefährdung durch API-Datenverletzungen bei über 10 Millionen Datensätzen pro Vorfall. Da die Gesamtkosten eines einzelnen verletzten Datensatzes 180 US-Dollar betragen, können die Gesamtkosten von API-Sicherheitsverletzungen leicht bis zu 85 Milliarden US-Dollar betragen, heißt es in dem Bericht.
Die beiden häufigsten Kategorien von Datenschutzverletzungen im Zusammenhang mit der API-Sicherheit sind die Autorisierung bei 135 Millionen Datensätzen bzw. 28 % aller verletzten Datensätze und die Authentifizierung bei 105 Millionen Datensätzen bzw. 22 % aller verletzten Datensätze.
Jeremy Snyder, CEO von FireTail, sagte, dass es nur noch eine Frage der Zeit sei, bis die Zahl der API-Sicherheitsverletzungen und die Gesamtkosten steigen würden, da mehr als 85 % des Internetverkehrs über APIs laufen. Leider entspreche das Ausmaß der Fokussierung auf API-Sicherheit nicht dem potenziellen Risiko für das Unternehmen, fügte er hinzu.
Darüber hinaus ist das Niveau der verfügbaren API-Sicherheitsexpertise weiterhin begrenzt. Eine häufig übersehene Überlegung im Authentifizierungsprozess ist beispielsweise die Notwendigkeit, Authentifizierungsdaten wiederholt zu validieren und an eine aktive Sitzung zu binden. Langlebige Anmeldeinformationen, wie statische API-Schlüssel, unterliegen der Verbreitung von Geheimnissen. Einige gängige Authentifizierungsmechanismen können sogar zu Schwachstellen in APIs führen.
Daher ist es wichtig, dass APIs so konzipiert sind, dass sie eine regelmäßige Authentifizierung erzwingen und nicht nur prüfen, ob ein Token dem erwarteten Format entspricht.
Es ist nicht immer klar, wer für die API-Sicherheit verantwortlich ist. Da Cyberkriminelle jedoch zu schätzen wissen, wie viele Daten über eine API extrahiert werden können, besteht eindeutig Bedarf an mehr Zusammenarbeit zwischen Cybersicherheitsteams, die für den Schutz dieser APIs zuständig sind, und den Entwicklern, die sie erstellen.
Eine noch größere Herausforderung besteht darin, dass die Zahl der in Produktionsumgebungen eingesetzten APIs stark zugenommen hat, vor allem dank der Zunahme von Microservices-basierten Anwendungen, die diese in großem Umfang nutzen. Es ist auch nicht ungewöhnlich, dass Entwickler eine sogenannte Zombie-API bereitgestellt haben, die nicht mehr unterstützt wird, auf die aber dennoch externe Bedrohungsakteure zugreifen und sie manipulieren können. Darüber hinaus gibt es häufig betrügerische APIs, die eingerichtet wurden, ohne dass irgendjemand in der IT etwas davon wusste. Das größte Problem, mit dem Cybersicherheitsteams bei APIs konfrontiert werden, besteht darin, dass es nicht möglich ist, das zu schützen, worüber sie nichts wissen, bemerkte Snyder.
Zumindest theoretisch werden Anwendungsentwicklungsteams, die DevSecOps-Praktiken zum Erstellen und Bereitstellen von Anwendungen anwenden, mehr Verantwortung für die Sicherung von APIs übernehmen, aber es wird immer das Cybersicherheitsteam sein, das für jeden Verstoß zur Verantwortung gezogen wird. Allerdings haben sich Cybersicherheitsteams in der Vergangenheit mehr auf die Sicherung von Perimetern und Endpunkten konzentriert, sodass der Großteil der für Cybersicherheit bereitgestellten Budgetmittel nicht für APIs verwendet wird.
Das könnte sich in den kommenden Monaten ändern, da API-Verstöße immer häufiger auftreten. In der Zwischenzeit sollten Cybersicherheitsteams zumindest eine Bestandsaufnahme der APIs erstellen, die sie kennen und für deren Schutz sie zuständig sind, unabhängig davon, wer sie erstellt hat.