Eine gut dokumentierte Programmierschnittstelle (API) kann ein erheblicher Wettbewerbsvorteil für ein Softwareprodukt sein, da auf diese Weise andere Softwareentwickler in die Lage versetzt werden, zusätzliche Software für dieses System zu erstellen. Die Attraktivität eines Ausgangssystems wird somit durch das Angebot zusätzlicher Programme von Drittanbietern teilweise enorm gesteigert. Die Schnittstelle kann damit über den kommerziellen Erfolg einer Software und gegebenenfalls auch der zugehörigen Hardware entscheiden. Radware hat dazu ermittelt, dass mit der zunehmenden Bereitstellung von APIs (application programming interfaces), allerdings auch Angriffe auf die Ausgangssysteme zunehmen.
APIs umfassend absichern
Werden über APIs personenbezogene Daten und Finanzdaten ausgetauscht oder geschäftssensibele Services bereitgestellt, ist es dementsprechend wichtig die Schnittstellen optimal abzusichern. Doch werden immer häufiger bereits unterschiedliche Schwachstellen in den API-Implementierungen durch Angreifer ausgenutzt.
So überprüfen viele APIs z. B. nur den Authentifizierungsstatus, nicht aber, ob eine Anforderung von einem realen Benutzer kommt. Mittels Session Hijacking und Account Aggregation können diese Schwachstellen so ausgenutzt werden, um echte API-Aufrufe nachzuahmen. Ebenso werden mobile Anwendungen immer öfter mittels Reverseengineering analysiert, um herauszufinden, wie eine API aufgerufen wird. Insbesondere die in eine App integrierten API-Schlüssel erweisen sich dann in diesem Punkt als problematisch und anfällig. Daher sollte die Benutzerauthentifizierung nicht nur auf API-Schlüssel vertrauen.
Auch unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und -Server können zu erheblichen Schäden führen, wenn über Man-in-the-Middle-Attacken sensible Informationen gestohlen oder Transaktionsdaten geändert werden. Eine durchgängige Verschlüsselung über alle Wege ist daher von größter Wichtigkeit.
Ebenso können Störungen herbeigeführt werden, wenn durch DDoS-Angriffe wiederkehrende und umfangreiche API-Aufrufe oder verzögerte POST-Anfragen auf einem Anwendungsserver durchgeführt werden. Ferner könnten zudem durch Client-Zertifikate auf Servern, Angreifer die Reihenfolge der APIs einfach ändern, was zu erheblichen und empfindlichen Datenverlusten führen würde.
Rechtzeitig Schutzmaßnahmen installieren
Radware empfiehlt folgende potenzielle Gegenmaßnahmen zur Vorbeugung:
- Den Einsatz von Multifaktor-Authentifizierungen.
- Eine Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots.
- Eine zuverlässige Verschlüsselung.
- Eine Implementierung durch eine Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
- Eine Sicherstellung zuverlässiger Endgeräte-Sicherheit.
- Die Überwachung und Verwaltung von API-Aufrufen durch eine Bot-Management-Lösung.
Angriffe auf Unternehmensnetzwerke über APIs, sind eine nicht zu unterschätzende und zunehmende Gefahr für die Datenbestände und die Geschäftsprozesse von Unternehmen. Nach dem jüngsten Global Application & Network Security Report von Radware, werden derzeit bereits ca. 30 % der Unternehmen über APIs attackiert.