Sicherung von APIs: Mission unmöglich?
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Die API-Sicherheit ist schwierig, aber mit ausreichender Schulung, Planung und einer Konzentration auf Best Practices können selbst die heimtückischsten Sicherheitslücken gemindert werden.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
