IT Security Januar / Februar 2024

Weitere Magazine

Empfehlungen

Info

36 | IT SECURITY API-Sicherheit neu definiert MEHR SCHUTZ FÜR KOMPLEXERE INFRASTRUKTUREN Im Gegensatz zu anderen punktuellen API-Sicherheitslösungen vereinen innovative Plattformen wie beispielsweise die von Cequence Security die Erkennung von APIs, die Inventarisierung, die Einhaltung von Richtlinien und dynamische Tests mit Echtzeit-Erkennung und nativer Prävention zur Abwehr von Betrug, Angriffen auf die Geschäftslogik, Exploits und unbeabsichtigten Datenlecks. Die Unified-API-Protection-Plattform (UAP) genannte Plattform dient der Absicherung von APIs in den heutigen komplexen Infrastrukturen. Unzureichende Lesen Sie den kompletten Beitrag hier Understanding the Zero Trust API Security Model API-Sicherheitsmaßnahmen Warum ist der Einsatz von API-Plattformen überhaupt notwendig? Den API- Business-Logic-Missbrauch, auch definiert als OWASP API10+, eine Erweiterung der OWASP API Top 10, nennt man die Praxis, APIs anzugreifen, um sein bösartiges Endziel zu erreichen. Codierungsfehler wie schwache Authentifizierung, übermäßige Offenlegung von Daten oder die versehentliche Veröffentlichung interner APIs sind bekanntermaßen immer wieder die Hauptursachen für API-Sicherheitsvorfälle. Mit 3,6 Milliarden böswilligen Anfragen, die vom CQ Prime Threat Research Team blockiert wurden, waren diese API10+-Angriffe die zweitgrößte API-Sicherheitsbedrohung, die im ersten Halbjahr 2022 abgewehrt werden konnte. Neuere Zahlen sind aktuell nicht verfügbar, dürften in der Richtung aber eher steil nach oben gehen. Zahlen, Daten, Fakten Um das tatsächliche Ausmaß zu erahnen, hier einige Zahlen. Böswillige Anfragen, die auf APIs abzielen, wurden vom CQ Prime Threat Research Team im ersten Halbjahr 2022 wie folgt blockiert: ➤ Über 3 Milliarden Shopping Bots: Shopping Bots zielten auf fehlerhafte APIs mit einem dichten Netz von hochvolumigen und geografisch verteilten Fuzzing-Nutzlasten ab. Diese Angriffe haben oft eine extrem niedrige Erfolgsquote, aber Größenvorteile führen zu einer erhöhten Rendite, wenn das Zielobjekt (etwa Turnschuhe, Luxusgüter, Spielkonsolen) erfolgreich gekauft und dann zu stark überhöhten Preisen weiterverkauft wird. ➤ Über 290 Millionen böswillige Geschenkkarten-Gutscheine: Die Aufzählung von Geschenkkarten basiert auf dem Fuzzing numerischer Muster in APIs, die Zahlungs- und Checkout-Microservices unterstützen. Die Angreifer nutzen billige Cloud-Computing-Ressourcen, die über viele Proxys verteilt sind, um Credential Stuffing-Angriffe auszuführen, die darauf abzielen, kostenlos an Geld zu gelangen. Das Fehlen einer Fehleranalyse bei solchen APIs führt zu einer großen Lücke in der Anwendungssicherheit. Cequence nutzt mehrere Standardfunktionen, um Bedrohungsvektoren und Angriffsnutzlasten im Zusammenhang mit Zahlungsbetrug zu verfolgen. ➤ 37 Millionen Kommentar-Spam-Anfragen: Dieser Satz von Nutzlasten missbraucht APIs, die Workflows für das Kundenbeziehungsmanagement dienen. Spamming und DoS-Aktivitäten in diesen Abläufen führen zu erheblichen Reibungsverlusten bei den Kunden und behindern die Fähigkeit eines Unternehmens, seine Kunden zu bedienen. Und so gehen Hacker vor! Das CQ Prime Threat Research Team hat die Vorgehensweisen analysiert und beschreibt die Methodik wie folgt: Methodischer API-Business- Logik-Missbrauch Das Team konnte erfolgreich einen Angriff auf eine eCommerce-Plattform entschärfen, der die OWASP API5- Schwachstelle (Broken Function Level Authorization) missbrauchte. Die Angreifer automatisierten den Kauf von Kundenartikeln mit gestohlenen Kreditkarten und PCI-DSS-Daten (Payment Card Industry Data Security Standard). Der Lebenszyklus des API-Missbrauchs- Angriffs sah wie folgt aus: Scannen der Schwachstellen: Die Angreifer begannen damit, die gesamte Website mit bekannten Tools zum Scannen von Schwachstellen von einer einzigen IP-Adresse aus abzubilden. Dazu Januar/Februar 2024 | www.it-daily.net
IT SECURITY | 37 gehörten OWASP API 8-Angriffsverhaltensweisen wie SQL-Injection, Command Injection, Directory Traversal und Fuzzing von sensiblen Daten. Als die grundlegende Aufklärung keinen schnellen Ertrag brachte, ging der Angreifer dazu über, das API-Ökosystem abzubilden. Angriffssondierungen: Die Angreifer begannen dann, bestehende Angriffskonfigurationen von bekannten Bot-Automatisierungstools wie OpenBullet zu verwenden, um grundlegende Angriffe zum Ausfüllen von Anmeldeformularen und zum Erstellen gefälschter Konten durchzuführen. Während eines Zeitraums von 24 Stunden initiierten die Angreifer mehr als 1,5 Millionen Anfragen von 130.000 IP-Adressen, die alle durch mehr als 1.000 verschiedene Verhaltens-Fingerprints entschärft wurden. Fortgesetzte Erkundung: Der Angriff wurde, obwohl er entschärft wurde, fortgesetzt. Dabei wurde festgestellt, dass dies eine Täuschung der Angreifer und nicht das eigentliche Ziel war. Bei den folgenden Angriffen kehrte das Erkundungsverhalten zurück, diesmal mit Schwerpunkt auf der Kontoerstellung und den Kassen-APIs. Entdeckte Schwachstelle: Die Angreifer entdeckten, dass bei der Erstellung eines brandneuen Kontos und vor der E-Mail-Verifizierung die Kassen-APIs (insbesondere die zum Hinzufügen einer Zahlungsmethode) vom Benutzer aufgerufen werden konnten. Dies ist ein Beispiel für eine gebrochene Autorisierung auf Funktionsebene, bei der eine API-Funktion nur von Benutzern verwendet werden soll, die sich sowohl authentifiziert haben als auch autorisiert sind. Diebstahl: Der Schwerpunkt des Angriffs verlagerte sich auf die Erstellung von Konten und die Angreifer begannen sofort damit, neue (gefälschte) Konten mit gestohlenen Zahlungsinformationen zu füllen, um gezielt Produkte im Einzelhandel zu kaufen. Es war irrelevant, dass ihre Credential Stuffing-Kampagne fehlschlug. Sie überwachten lediglich, welche der neu erstellten Konten erfolgreich auf die Zahlungs-APIs zugreifen konnten, und durchsuchten die gestohlenen Kreditkartendaten iterativ, bis sie eine geeignete für den folgenden Kauf gefunden hatten. Was ist API-Sicherheit? API-Sicherheit ist ein entscheidender Aspekt bei der Gewährleistung des Schutzes und der Integrität von Anwendungsprogrammierschnittstellen (APIs) durch die Umsetzung wesentlicher Maßnahmen zur Bekämpfung von Risiken und Schwachstellen, die zu Datenschutzverletzungen, betrügerischen Aktivitäten und Betriebsunterbrechungen führen könnten. Um eine optimale API-Sicherheit zu erreichen, müssen drei Grundprinzipien beachtet werden: API-Erkennung, Risiko- und Konformitätsanalyse sowie Be- www.it-daily.net | Januar/Februar 2024
Seite 1 und 2: Detect. Protect. Respond. Januar/Fe
Seite 3 und 4: INHALT | 3 Inhalt 04 COVERSTORY 4 E
Seite 5 und 6: COVERSTORY | 5 DIE VERMITTLUNG VON
Seite 7 und 8: IT SECURITY | 7 Was sind ihre Top-p
Seite 9 und 10: IT SECURITY | 9 Quelle: Gerd Altman
Seite 11 und 12: IT SECURITY | 11 Cyber sicherheitse
Seite 13 und 14: IT SECURITY | 13 zahl von Kontextin
Seite 15 und 16: IT SECURITY | 15 SO LANGE DAUERT ES
Seite 17 und 18: IT SECURITY | 17 einstieg in Kali L
Seite 19 und 20: IT SECURITY | 19 Die Krux also: Die
Seite 21 und 22: IT SECURITY | 21 lungen oder verein
Seite 23 und 24: IT SECURITY | 23 Fragmentierung und
Seite 25 und 26: IT SECURITY | 25 Die Verhaltenslüc
Seite 27 und 28: IT SECURITY | 27 gangsformat entspr
Seite 29 und 30: IT SECURITY | 29 sichere dateien in
Seite 31 und 32: IT SECURITY | 31 Zero Trust GANZHEI
Seite 33 und 34: IT SECURITY | 33 Ulrich Parthier: W
Seite 35: IT SECURITY | 35 geführt werden. D
Seite 39 und 40: IT SECURITY | 39 passwort managemen
Seite 41 und 42: IT SECURITY | 41 PAP 1. View record
Seite 43 und 44: IT SECURITY | 43 ➤ eine Ressource
Seite 45 und 46: IT SECURITY | 45 funktionsweise von
Seite 47 und 48: Cyberkriminelle überall da tut Hil

IT Security Januar / Februar 2024

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?