IT Security Januar / Februar 2024
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen Fein-granulare Autorisierung – Warum der Hype?
Effiziente Cybersicherheit – Ökosysteme aus Menschen, Expertise, Services und Technologie
Im Visier der Cyberkriminellen – Effektive Abwehr durch sichere Authentifizierung
Von wegen Drahtseilakt! So gelingt Unternehmen der sichere Einsatz von KI-Lösungen
Fein-granulare Autorisierung – Warum der Hype?
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
36 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
API-Sicherheit neu definiert<br />
MEHR SCHUTZ FÜR KOMPLEXERE INFRASTRUKTUREN<br />
Im Gegensatz zu anderen punktuellen<br />
API-Sicherheitslösungen vereinen innovative<br />
Plattformen wie beispielsweise<br />
die von Cequence <strong>Security</strong> die Erkennung<br />
von APIs, die Inventarisierung, die<br />
Einhaltung von Richtlinien und dynamische<br />
Tests mit Echtzeit-Erkennung und<br />
nativer Prävention zur Abwehr von Betrug,<br />
Angriffen auf die Geschäftslogik,<br />
Exploits und unbeabsichtigten Datenlecks.<br />
Die Unified-API-Protection-Plattform<br />
(UAP) genannte Plattform dient<br />
der Absicherung von APIs in den heutigen<br />
komplexen Infrastrukturen.<br />
Unzureichende<br />
Lesen Sie<br />
den kompletten<br />
Beitrag hier<br />
Understanding the<br />
Zero Trust<br />
API <strong>Security</strong> Model<br />
API-Sicherheitsmaßnahmen<br />
Warum ist der Einsatz von API-Plattformen<br />
überhaupt notwendig? Den API-<br />
Business-Logic-Missbrauch, auch definiert<br />
als OWASP API10+, eine Erweiterung<br />
der OWASP API Top 10, nennt<br />
man die Praxis, APIs anzugreifen, um<br />
sein bösartiges Endziel zu erreichen.<br />
Codierungsfehler wie schwache Authentifizierung,<br />
übermäßige Offenlegung<br />
von Daten oder die versehentliche<br />
Veröffentlichung interner APIs sind bekanntermaßen<br />
immer wieder die Hauptursachen<br />
für API-Sicherheitsvorfälle.<br />
Mit 3,6 Milliarden böswilligen Anfragen,<br />
die vom CQ Prime Threat Research<br />
Team blockiert wurden, waren diese<br />
API10+-Angriffe die zweitgrößte API-Sicherheitsbedrohung,<br />
die im ersten<br />
Halbjahr 2022 abgewehrt werden<br />
konnte. Neuere Zahlen sind aktuell<br />
nicht verfügbar, dürften in der Richtung<br />
aber eher steil nach oben gehen.<br />
Zahlen, Daten, Fakten<br />
Um das tatsächliche Ausmaß zu erahnen,<br />
hier einige Zahlen. Böswillige Anfragen,<br />
die auf APIs abzielen, wurden<br />
vom CQ Prime Threat Research Team im<br />
ersten Halbjahr 2022 wie folgt blockiert:<br />
➤ Über 3 Milliarden Shopping Bots:<br />
Shopping Bots zielten auf fehlerhafte<br />
APIs mit einem dichten Netz von hochvolumigen<br />
und geografisch verteilten<br />
Fuzzing-Nutzlasten ab. Diese Angriffe<br />
haben oft eine extrem niedrige Erfolgsquote,<br />
aber Größenvorteile führen zu<br />
einer erhöhten Rendite, wenn das Zielobjekt<br />
(etwa Turnschuhe, Luxusgüter,<br />
Spielkonsolen) erfolgreich gekauft und<br />
dann zu stark überhöhten Preisen weiterverkauft<br />
wird.<br />
➤ Über 290 Millionen böswillige Geschenkkarten-Gutscheine:<br />
Die Aufzählung<br />
von Geschenkkarten basiert auf<br />
dem Fuzzing numerischer Muster in APIs,<br />
die Zahlungs- und Checkout-Microservices<br />
unterstützen. Die Angreifer nutzen<br />
billige Cloud-Computing-Ressourcen,<br />
die über viele Proxys verteilt sind, um<br />
Credential Stuffing-Angriffe auszuführen,<br />
die darauf abzielen, kostenlos an<br />
Geld zu gelangen. Das Fehlen einer Fehleranalyse<br />
bei solchen APIs führt zu einer<br />
großen Lücke in der Anwendungssicherheit.<br />
Cequence nutzt mehrere Standardfunktionen,<br />
um Bedrohungsvektoren und<br />
Angriffsnutzlasten im Zusammenhang<br />
mit Zahlungsbetrug zu verfolgen.<br />
➤ 37 Millionen Kommentar-Spam-Anfragen:<br />
Dieser Satz von Nutzlasten<br />
missbraucht APIs, die Workflows für das<br />
Kundenbeziehungsmanagement dienen.<br />
Spamming und DoS-Aktivitäten in<br />
diesen Abläufen führen zu erheblichen<br />
Reibungsverlusten bei den Kunden und<br />
behindern die Fähigkeit eines Unternehmens,<br />
seine Kunden zu bedienen.<br />
Und so gehen Hacker vor!<br />
Das CQ Prime Threat Research Team<br />
hat die Vorgehensweisen analysiert und<br />
beschreibt die Methodik wie folgt:<br />
Methodischer<br />
API-Business- Logik-Missbrauch<br />
Das Team konnte erfolgreich einen Angriff<br />
auf eine eCommerce-Plattform entschärfen,<br />
der die OWASP API5-<br />
Schwachstelle (Broken Function Level<br />
Authorization) missbrauchte. Die Angreifer<br />
automatisierten den Kauf von<br />
Kundenartikeln mit gestohlenen Kreditkarten<br />
und PCI-DSS-Daten (Payment<br />
Card Industry Data <strong>Security</strong> Standard).<br />
Der Lebenszyklus des API-Missbrauchs-<br />
Angriffs sah wie folgt aus:<br />
Scannen der Schwachstellen: Die Angreifer<br />
begannen damit, die gesamte<br />
Website mit bekannten Tools zum Scannen<br />
von Schwachstellen von einer einzigen<br />
IP-Adresse aus abzubilden. Dazu<br />
<strong>Januar</strong>/<strong>Februar</strong> <strong>2024</strong> | www.it-daily.net