Aufwachen! Identifizieren Sie API-Schwachstellen proaktiv, vom Code zurück in die Produktion

  • Nach mehr als 20 Jahren der Entwicklung ist es nun offiziell: APIs sind überall. In einer Umfrage aus dem Jahr 2021 gaben 73 % der Unternehmen an, dass sie bereits mehr als 50 APIs veröffentlichen, und diese Zahl wächst ständig.

    APIs spielen heute in praktisch jeder Branche eine entscheidende Rolle, und ihre Bedeutung nimmt stetig zu, da sie in den Vordergrund der Geschäftsstrategien rücken. Dies ist keine Überraschung: APIs verbinden nahtlos unterschiedliche Apps und Geräte und ermöglichen so nie dagewesene geschäftliche Synergien und Effizienzsteigerungen.

    Allerdings haben APIs Schwachstellen wie jede andere Komponente der Software. Wenn sie darüber hinaus nicht rigoros unter Sicherheitsaspekten getestet werden, können sie auch eine ganze Reihe neuer Angriffsflächen bieten und Sie ungeahnten Risiken aussetzen. Wenn Sie bis zur Produktion warten, um API-Schwachstellen zu entdecken, können Sie erhebliche Verzögerungen in Kauf nehmen.

    APIs sind für Angreifer attraktiv, nicht nur für Unternehmen

    Denken Sie daran, dass APIs mehr tun, als nur Ihre Anwendungen zu verbinden; sie verändern die Funktionalität auf unvorhersehbare Weise. Viele der einzigartigen Schwachstellen, die APIs mit sich bringen können, sind Hackern gut bekannt. Sie haben verschiedene Methoden entwickelt, um Ihre APIs anzugreifen, um auf die zugrunde liegenden Daten und Funktionen zuzugreifen.

    Laut der OWASP API Top 10 ist es nicht ungewöhnlich, dass legitime, authentifizierte Benutzer die API ausnutzen, indem sie Aufrufe verwenden, die legitim erscheinen, aber in Wirklichkeit dazu dienen, die API zu manipulieren. Diese Art von Angriffen, die darauf abzielen, die Geschäftslogik zu manipulieren und Designschwächen auszunutzen, sind für Angreifer attraktiv.

    Sie sehen, jede API ist einzigartig und proprietär. Als solche sind auch ihre Softwarefehler und Schwachstellen einzigartig und “unbekannt”. Die Art von Fehlern, die zu Angriffen auf der Ebene der Geschäftslogik oder der Geschäftsprozesse führen, ist für einen Verteidiger besonders schwierig zu identifizieren.

    [Blocked Image: https://thehackernews.com/images/-SMbrg7FL3SU/YPqojCpWpDI/AAAAAAAABJ4/C13n4DyXEUEBKGHPz9HoaHQQvO-u6yKAQCLcBGAsYHQ/s728-e1000/cyber-1.jpg]

    Schenken Sie API-Sicherheitstests genug Aufmerksamkeit?

    Shift-left-Sicherheit ist in vielen Unternehmen bereits weit verbreitet und ermöglicht kontinuierliche Tests während der gesamten Entwicklung. API-Sicherheitstests fallen jedoch oft durch die Maschen oder werden ohne ausreichendes Verständnis der damit verbundenen Risiken durchgeführt. Warum ist das so? Nun, dafür gibt es mehr als einen Grund: Bestehende Tools zum Testen der Anwendungssicherheit sind generisch und zielen auf traditionelle Schwachstellen von Web-Apps ab und können die Feinheiten der Geschäftslogik einer API nicht effektiv behandeln. Da APIs keine Benutzeroberfläche haben, ist es für Unternehmen üblich, Web, App und Mobile separat zu testen – aber nicht die API selbst. Das Testen von APIs kann manuell intensiv sein und ist nicht skalierbar, wenn Sie Hunderte davon haben. Einschlägige Erfahrung und Fachkenntnisse können Mangelware sein, da das Testen von APIs komplizierter ist als andere Arten von Tests Bei Legacy-APIs wissen Sie möglicherweise nichts über die bereits implementierten APIs oder die Dokumentation.

    Während also die Shift-Links-Sicherheit von vielen Unternehmen bereits geschätzt wird, wird das Testen der API-Sicherheit zu oft aus dem großen Bild von DevSecOps herausgelassen.

    Das ist bedauerlich, da die Behebung von API-Schwachstellen mehr Zeit in Anspruch nimmt als die Behebung herkömmlicher Anwendungsschwachstellen – in einer kürzlich durchgeführten Umfrage gaben 63 % der Befragten an, dass die Behebung von API-Schwachstellen länger dauert. Diese Zahl wird angesichts der schnellen Akzeptanz von Anwendungen und der Abhängigkeit von APIs wahrscheinlich noch steigen.

    [Blocked Image: https://thehackernews.com/images/--QH0XBVdmJA/YPqo4CxzvFI/AAAAAAAABKA/ATssVfHaXr4koqibYegYCtvvv8Ctti3RwCLcBGAsYHQ/s728-e1000/cyber-2.jpg]

    Obwohl die meisten Sicherheitsverantwortlichen sich der Bedeutung von API-Sicherheitstests bewusst sind, gibt knapp die Hälfte an, dass sie noch keine vollständig in ihre Entwicklungspipeline integrierte Lösung für API-Sicherheitstests haben.

    Erfahren Sie mehr darüber, wie Sie Angriffe verhindern können, indem Sie proaktiv Schwachstellen identifizieren, von der Produktion zurück zum Code.

    Warum decken gängige Sicherheitstest-Ansätze APIs nicht ab?

    Als erster Schritt in Richtung eines umfassenden Ansatzes ist es wichtig, die heute am weitesten verbreiteten Einstellungen zum Testen der Anwendungssicherheit zu untersuchen: statische Sicherheitstests und dynamische Sicherheitstests.

    Statische Sicherheitstests verfolgen einen White-Box-Ansatz und erstellen Tests auf der Grundlage der bekannten Funktionalität der Anwendung, indem sie das Design, die Architektur oder den Code überprüfen, einschließlich der vielen komplexen Pfade, die Daten beim Durchlaufen der Anwendung nehmen können.

    Dynamische Sicherheitstests verfolgen einen Black-Box-Ansatz, bei dem Tests auf der Grundlage der erwarteten Leistung der Anwendung bei einer bestimmten Menge von Eingaben erstellt werden, wobei die interne Verarbeitung oder die Kenntnis des zugrunde liegenden Codes außer Acht gelassen wird.

    Wenn es um APIs geht, streiten sich Entwickler und Sicherheitsteams häufig darüber, welche der beiden Methoden am besten geeignet ist, wobei die führenden Argumente für jede der beiden Methoden sprechen:

    • Statisches Testen ist die einzige Methode, die Sinn macht: Da es bei APIs keine Benutzeroberfläche gibt, muss man wissen, was innerhalb der Geschäftslogik vor sich geht.
    • Dynamisches Testen ist alles, was benötigt wird, da Unit-Tests statische Modelle verwenden und bereits in einer früheren Phase der Pipeline abgeschlossen wurden.

    Es tut mir leid, die Party zu ruinieren, aber diese beiden Punkte sind nur teilweise wahr. Tatsächlich sind beide Ansätze notwendig, um eine breite Abdeckung zu gewährleisten und eine Vielzahl von möglichen Szenarien zu behandeln. Besonders bei der aktuellen Zunahme von API-basierten Angriffen können Sie kein Risiko eingehen, wenn es um Skalierbarkeit, Tiefe und Häufigkeit geht.

    [Blocked Image: https://thehackernews.com/images/-zlb9myHpixA/YPqpRBZZMtI/AAAAAAAABKI/43020qGe5sQl6j9MksaLv-PpcRmdA7vCACLcBGAsYHQ/s728-e1000/cyber-3.jpg]

    ‘Grey-Box’ API-Sicherheitstests können eine interessante Alternative darstellen. Da es keine Benutzeroberfläche gibt, kann das Wissen über die interne Funktionsweise der App (z. B. Parameter, Rückgabetypen) Ihnen helfen, effizient funktionale Tests zu erstellen, die sich auf die Geschäftslogik konzentrieren.

    Im Idealfall käme man durch die Kombination von Aspekten der API-Sicherheitstests einer Grey-Box-Lösung näher, die die Schwächen der einzelnen Ansätze kompensiert. Ein solcher Geschäftslogik-Ansatz würde die Ergebnisse anderer Testtypen intelligent untersuchen und kann sich anpassen, um verbesserte Tests anzuwenden, entweder automatisch oder manuell.

    Es ist Zeit für einen Business-Logic-API-Sicherheitstest-Ansatz

    In der Branche wächst das Bewusstsein für die Notwendigkeit, APIs über ihren gesamten Lebenszyklus hinweg zu sichern und sie in den Mittelpunkt Ihrer Sicherheitskontrollen zu stellen.

    Um dies zu erreichen, müssen Sie Wege finden, die API-Sicherheitstests in Ihrem Unternehmen zu vereinfachen und zu rationalisieren, indem Sie API-Sicherheitsteststandards in den Entwicklungszyklus integrieren und durchsetzen. Auf diese Weise kann das Sicherheitsteam zusammen mit der Laufzeitüberwachung an einer Stelle Einblick in alle bekannten Schwachstellen erhalten. Als Bonus werden die Schritte zur Verlagerung der API-Sicherheitstests die Kosten senken und die Zeit bis zur Behebung beschleunigen.

    Sobald Ihre Test-Workflows automatisiert sind, verfügen Sie außerdem über integrierte Unterstützung für erneute Tests: ein Zyklus aus Testen, Beheben, erneutem Testen und Bereitstellen, der dafür sorgt, dass Ihre Pipeline reibungslos läuft und Engpässe gänzlich vermieden werden.

    Ein geschäftslogischer Ansatz für API-Sicherheitstests kann den Reifegrad Ihres Full Lifecycle API Security Programms erhöhen und Ihre Sicherheitslage verbessern.

    [Blocked Image: https://thehackernews.com/images/-Ie-r02MnYpU/YPqpsVm_BII/AAAAAAAABKQ/It4D3HBQJF0jK6aWEamamYErTCIVNrxqACLcBGAsYHQ/s728-e1000/cyber-4.jpg]

    Dieser moderne Ansatz erfordert jedoch ein lernfähiges Tool, das seine Leistung im Laufe der Zeit verbessert, indem es Laufzeitdaten aufnimmt, um Einblicke in die Struktur und Logik der Anwendung zu gewinnen.

    Dazu müsste eine adaptive Test-Engine erstellt werden, die mitlernt und ein tieferes Wissen über das Verhalten der API entwickelt, um deren verborgenes Innenleben auf intelligente Weise zu rekonstruieren. Durch die Verwendung von Laufzeitdaten und Informationen zur Geschäftslogik können Sie das Beste aus beiden Welten nutzen – den Black- und White-Box-Ansatz für eine verbesserte Sichtbarkeit und Kontrolle durch Automatisierung.

    Erfahren Sie mehr darüber, wie Sie Angriffe verhindern können, indem Sie proaktiv Schwachstellen identifizieren, von der Produktion zurück zum Code.

    Zum Abschluss

    Neben ihrer zunehmenden Beliebtheit schaffen APIs auch eine größere Anfälligkeit für Webanwendungen. Eine große Anzahl von Unternehmen weiß nicht einmal, wie groß der Umfang ihrer APIs und Schwachstellen ist. Bekannte und unbekannte Schwachstellen können von Hackern über verfügbare APIs leicht ausgelotet werden.

    Das Testen der API-Sicherheit wird jedoch oft übersehen und genauso gehandhabt wie bei Webanwendungen. Die meisten Testansätze, wie Blackbox- und Whitebox-Tests, sind für API-Tests nicht förderlich.

    Eine Kombination aus natürlicher Sprachverarbeitung und künstlicher Intelligenz (KI) bietet eine praktikable “Grey-Box”-Option, die den komplexen Prozess des API-Sicherheitstestens automatisiert, skaliert und vereinfacht.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com