Die meisten von uns kennen das alte Sprichwort „Aus Mangel an einem Nagel ging der Schuh verloren; aus Mangel an einem Schuh ging das Pferd verloren; aus Mangel an einem Pferd war der Kampf verloren …“ und so weiter. Das Lehrbeispiel ist, dass kleine und manchmal anscheinend unwichtige Objekte oder Aktionen übergroße Auswirkungen haben können, wenn sie nicht richtig beachtet werden.
So ist es mit Anwendungsprogrammierschnittstellen oder APIs. Sie sind die „Hufeisennägel“ im Herzen moderner Unternehmen.
Heute sind APIs der Klebstoff, der es ermöglicht, dass die digitale Transformation und andere kritische IT-Initiativen gedeihen und erfolgreich sind. So zurückhaltend und übersehen sie auch oft sein mögen, APIs erfüllen eine wesentliche Aufgabe, indem sie die kommerzielle Infrastruktur zusammenhalten. Tatsächlich sind sie stillschweigend zu nichts weniger als lebenswichtig für den laufenden Betrieb geworden, was bedeutet, dass sie für die Art und Weise, wie fast alle von uns derzeit arbeiten, unverzichtbar sind.
APIs ermöglichen unsere digitale Welt
Nehmen Sie die E-Commerce-Welt von heute. APIs ermöglichen Verbrauchern digitale und bequeme Einkaufsmöglichkeiten. Sie ermöglichen es Einzelhändlern, ihre Systeme und Prozesse schnell und effizient zu transformieren, und Händlern, Angebote auf digitalen Plattformen bereitzustellen und traditionelle stationäre Engagements zu verbessern. Im Gesundheitswesen verändern APIs nicht nur die Art und Weise, wie wir auf Gesundheitsdienste zugreifen, sondern sorgen auch für wesentliche Effizienzen, die von finanziell angeschlagenen Gesundheitsdienstleistern dringend benötigt werden.
Ebenso ist sich die Fertigungsindustrie sehr bewusst, dass die Zukunft der Fertigung liegt digital, wo digital für die Lösung komplexer Produktionsprobleme und die Verbesserung der geschäftlichen Agilität unverzichtbar geworden ist.
Insgesamt sehen Unternehmen, die sich für digitale Technologien entscheiden, eine schnellere Markteinführung, ein geringeres Risiko, höhere Margen und eine verbesserte Marktposition. Um diese Vorteile zu erzielen, müssen Unternehmen enger mit ihrem Ökosystem aus Partnern und Lieferanten zusammenarbeiten, um Daten zu integrieren, darauf zuzugreifen und sie auszutauschen. Es sind APIs, die diese digitale Vision Wirklichkeit werden lassen.
Einfach gesagt, APIs schaffen aufregende neue Erfahrungen für Kunden, Partner und andere wichtige Interessengruppen – sie sind jetzt in fast allen erdenklichen Umgebungen und Branchen unternehmenskritisch.
Das Sicherstellen, dass APIs nicht kompromittiert werden, ist eine unverzichtbare Sicherheitsanforderung
Aus diesen Gründen ist es nicht zuletzt aus diesen Gründen besonders wichtig, sicherzustellen, dass APIs sicher sind wichtig. Aber die Kehrseite von APIs ist, dass Organisationen jetzt Zeuge einer Welle von API-bezogenen Sicherheitsvorfällen werden, die aus undichten APIs, anfälligen System-APIs, Autorisierungsfehlern und vielem mehr resultieren. Tatsächlich haben sich APIs schnell zu einem der wichtigsten Angriffsvektoren für Cyberkriminalität entwickelt. Und das macht ihre Sicherheit zu einer kritischeren Überlegung als je zuvor.
Das gilt in der Tat auch für andere Faktoren. Ein Beispiel dafür ist die Tatsache, dass die jeweiligen Ziele und Imperative der meisten Sicherheits-und Entwicklungsteams inzwischen oft im Widerspruch zueinander stehen. Die schnell steiler werdende API-Bedrohungskurve ist ein weiterer.
Im Hinblick auf Letzteres treibt eine wachsende Zahl von Treibern die Verwendung von APIs im gesamten Unternehmen voran – kommerzielle Anforderungen, digitale Transformation, öffentliche Cloud-Infrastruktur, agile/kontinuierliche Bereitstellung, Microservices und sich entwickelnde regulatorische Anforderungen, um nur einige zu nennen. Dieser starke Aufschwung – der wiederum durch Personal-und Fachkräftemangel, stagnierende Sicherheitskapazitäten und die sich daraus ergebende schnell wachsende API-Lücke verschärft wird – lässt die verfügbare API-Angriffsfläche in beispielloser Weise ansteigen. Tatsächlich hat Gartner prognostiziert, dass API-Angriffe im Jahr 2022 zum häufigsten Angriffsvektor werden und Datenverletzungen für Unternehmensanwendungen verursachen werden.
Und obwohl sich viele Unternehmen jetzt auf die API-Sicherheit konzentrieren, gibt es immer noch erhebliche Angriffe Sicherheitslücken. Dark Reading’s 2021 Secure Applications Survey highlights that 41 percent of respondents treat APIs the same as web applications, and only 23 percent have a dedicated Prozess zur Bewertung der API-Sicherheit.
Die Bedeutung der API-Sicherheit wird unterschätzt
Das Problem ist jedoch, dass viele Unternehmen immer noch nicht wissen, was das alles ist dies könnte für ihre Unternehmen bedeuten.
Ja, das Interesse an API-Sicherheit nimmt zu und wird von großen Organisationen ernst genommen. Wenn man jedoch den Ergebnissen unserer jüngsten Umfrage unter hochrangigen Cybersicherheitsexperten von Unternehmen in sechs wichtigen Branchen Glauben schenken darf, scheint es anderswo ein besorgniserregendes Maß an Apathie und Missverständnissen zu geben.
Zum Beispiel, während 76 Prozent der Befragten gaben zu, in den 12 Monaten API-Sicherheitsvorfälle erlebt zu haben, gewaltige 74 Prozent haben kein vollständiges API-Inventar oder wissen nicht, welche APIs sensible Daten zurückgeben. Ähnlich viele 71 Prozent der Teilnehmer gaben an, von der API-Sicherheit ihrer CSPs überzeugt zu sein – was widersprüchlich erscheint, wenn man bedenkt, wie viele API-Sicherheitsvorfälle die Befragten gemeldet haben.
Mit drei Vierteln aller Befragten Wir gaben zu, einen API-Sicherheitsvorfall erlebt zu haben, und hielten es für interessant zu verstehen, wie oft die Befragten API-Sicherheitstests auf Anzeichen von Missbrauch durchführen. Angesichts der hohen Anzahl von Vorfällen fanden wir es alarmierend, dass nur 11 Prozent unserer Umfrageteilnehmer zugaben, Tests in Echtzeit durchzuführen.
Die API-Sicherheitslücke
In der Tat zeigen diese Zahlen und viele andere in der Umfrage ein widersprüchliches Bild, das darauf hindeutet, dass Unternehmen mit der Realität der Verwaltung und Sicherung ihres API-Bestands nicht zufrieden sind. Wir haben eine Diskrepanz zwischen den Ansichten der CISOs zur Transparenz von APIs und dem Vertrauen in DAST-und SAST-Tools sowie Cloud-und Sicherheitsanbieter im Vergleich zu den eher operativen AppSec-Teams festgestellt, was auf einen Mangel an Kommunikation und Verständnis hinweist.
Im Moment ist klar, dass viele Unternehmen die Maßnahmen überdenken müssen, die sie ergriffen haben, um sicherzustellen, dass ihre API-Bestände nicht zu glücklichen Jagdgründen für opportunistische Cyberkriminelle werden, die darauf abzielen, das Unternehmen über diese grundlegenden „Hufeisennägel“ zu treffen von denen der Rest der Organisation abhängt.
Bildnachweis: totallyPic.com/Shutterstock
Shay Levi ist Mitbegründer und CTO, Noname Security.