API-Sicherheit ist dasjenige neue Schwarz

Es gibt wenige Gründe, warum dasjenige Themenkreis API-Sicherheit zum Finale des Jahres 2022 immer mehr auftaucht.

Schon im Juli 2021 prognostizierte Gartner, dass solange bis 2022 API-Angriffe (Application Programming Interface) zum häufigsten Angriffsvektor werden und Datenschutzverletzungen zusammen mit Webanwendungen von Unternehmen verursachen werden.

Hatte dasjenige Analystenhaus recht? Es ist zu Vormittag, um es sicher zu wissen, da OWASP die Ergebnisse noch auszählt.

API-Angriffe sind wieder in den Nachrichtensendung. Es stellt sich hervor, dass welcher wahrscheinliche Eintrittspunkt z. Hd. die Optus-Verletzung eine niedrige REST-API war. Und Leckermäulchen hat nicht mehr da Statistik, die zusammen mit welcher Twitter-Verletzung gestohlen wurden, durchgesickert – welches untergeordnet eine API betraf.

Wenn wir mehr als API-Sicherheit sprechen, beziehen wir uns aufwärts die Maßnahmen und Praktiken, die wir anwenden, um APIs und die von ihnen übertragenen Statistik zu sichern. Wir zeugen uns notfalls Sorgen mehr als unbefugten Zugriff, unerwünschte Reaktionen aufwärts verschmelzen DDoS (mehr wie eine API ist umgefallen und hat dasjenige zugrunde liegende System weit ungeschützt und völlig verhalten zurückgelassen) oder andere böswillige Angriffe.

Es ist eine Kunst, APIs zu sichern; ein leichtes Händchen und eine feine Zusammenstellung aus technischen und organisatorischen Fähigkeiten sind erforderlich, um es richtig zu zeugen.

Aufwärts welcher technischen Seite betrachten wir Maßnahmen wie Authentifizierung und Autorisierung, Verschlüsselung, automatisierte Tests und Überwachung. Aufwärts welcher organisatorischen Seite sollen Sie genau wissen, wem im Organisationsschaubild die API fungieren soll, und den Zugriff zufolge individuell herrichten. Wohnhaft bei externen APIs sollen Sie wissen, wie viele Statistik welcher Außenwelt zur Verfügung stillstehen sollen und wie welche Statistik kuratiert und präsentiert werden sollen.

Wie werden APIs geschützt?

Es gibt eine vernünftige Reihenfolge welcher Vorgänge, wenn Sie versuchen, die APIs Ihres Unternehmens zu sichern.

Suchen und katalogisieren Sie zunächst nicht mehr da APIs. Die Zahl welcher Unternehmen, die dies tatsächlich tun und ihr API-Inventar aufwärts dem neuesten Stand halten, ist in welcher Tat wenig. Entwicklerfreundlichkeit, schnelle Website-Schöpfung und welcher zunehmende Trend zu föderierten Diensten tragen nicht mehr da dazu zusammen mit, dass mysteriöse APIs unvermittelt Verwendung finden, ohne dass jedwede Menge von obligatorischer Registrierungsstruktur vorhanden ist.

Um welche Menge von API-Creep zu vermeiden, sollte jede einzelne von ihnen zentral mit den folgenden Informationen registriert werden:

• Name
• Tools und Pakete, die zum Erstellen welcher API verwendet werden
• Server, aufwärts denen es läuft
• Dienste, die aufwärts dieser API basieren
• Dokumentation aller gültigen Verwendungen und Fehlercodes
• Typische Leistungskennzahlen
• Erwartete Betriebs- oder Ausfallzeitfenster

Leer welche Informationen möglich sein in ein Repository, dasjenige vom Cybersicherheitsteam betrieben wird.

Zweitens: Urteilen Sie die Sicherheits- und Leistungsautomatisierung z. Hd. jede API ein. Genug damit diesem Grund nach sich ziehen Sie nachdem all diesen Informationen gefragt, und so wahren Sie die Gesamtheit sicher aufwärts. Mit welcher von den Entwicklern (und dem DevOps-Team, dem Web-Team usw.) bereitgestellten Statistik kann dasjenige Cybersicherheits- und/oder Testteam eine Automatisierung zusammenstellen, die die API regelmäßig testet.

Funktionstests sind wichtig, weil sie sicherstellen, dass die Gesamtheit wie erwartet funktioniert. Nichtfunktionale Tests sind wichtig, da sie die Zuverlässigkeit und Sicherheit welcher API testen. Denken Sie daran, dass APIs sicher fehlschlagen sollen. Es reicht nicht zu wissen, dass Leckermäulchen umgefallen ist – Sie sollen die Hinterher gehen dieses Versagens Kontakt haben.

Fügen Sie schließlich die API welcher normalen Bedrohungsabwehr-Suite hinzu. Wenn eines welcher Tools oder Pakete, die zum Erstellen welcher API verwendet werden, fehlerhaft ist, sollen Sie dies wissen. Wenn eines welcher verwendeten Protokolle wie verhalten eingestuft wird, wenn Sie Probleme wiedererkennen, sollen Sie dasjenige Team bitten, die APIs herunterzufahren, solange bis sie untersucht und neu erstellt werden können.

Selbige Zeug einmal zu tun ist großartig; Dasjenige langfristige Ziel ist die Schaffung einer Programmier- und Sicherheitskultur, die es Ihnen ermöglicht, vollwertig katalogisierte und dokumentierte APIs zu verwalten.

Spezifisches API-Verhalten zu beherzigen

Beim Pentesten und Sichern einer API sind wenige Techniken nützlicher wie andere.

1. Beginnen Sie mit welcher Verhaltensanalyse. Hierbei wird getestet, ob die Wirklichkeit mit welcher Dokumentation in Bezug aufwärts die gewährte Zugriffsebene, die verwendeten Protokolle und Ports, die Ergebnisse erfolgreicher und nicht erfolgreicher Auslesen und welches mit dem System wie Ganzes passiert, wenn die API selbst nicht mehr funktioniert, übereinstimmt.
2. Denn nächstes kommen die Tafelgeschirr-Levels. Dies betrifft die Priorität des Prozesses selbst aufwärts dem Server, die Ratenbegrenzung z. Hd. Transaktions-APIs, die Einstellungen z. Hd. die minimale und maximale Anforderungslatenz und die Verfügbarkeitsfenster. Manche dieser Finessen sind wichtig z. Hd. die DDoS-Prävention (oder Abstumpfung). Andere sind nützlich, um zu beaufsichtigen, ob es langsame Speicherlecks oder Probleme mit welcher Speicherbereinigung gibt, die eine langfristige Gefahr z. Hd. die Unbescholtenheit des Servers selbst darstellen könnten.
3. Authentifizierungs- und Hygieneprobleme Sprechen Sie stracks mit dem Vertrauen, dasjenige Sie den Benutzern welcher API entgegenbringen. Wie zusammen mit jedem Tätigkeit sollen Auslesen bereinigt werden, zuvor sie akzeptiert werden. Dies verhindert Identifikationsnummer-Injection, Pufferüberläufe und desgleichen.

Wohnhaft bei APIs, die z. Hd. eine bestimmte Benutzerbasis entwickelt wurden, muss ein gewisses Pegel an Authentifizierung vorhanden sein. Dies kann jedoch komplex werden. Föderation ist ein Problem, mit dem Sie sich befassen sollen, um festzulegen, welche zentralen Identifikations- und Authentifizierungsserver Sie zusagen. Notfalls möchten Sie eine Zwei-Merkmal-Authentifizierung z. Hd. im besonderen sensible oder leistungsstarke APIs nach sich ziehen. Und natürlich ist die Authentifizierung selbst heutzutage nicht unbedingt ein Passwort; Biometrie ist eine gültige Methode, um eine API abzuschirmen. Um es von kurzer Dauer zu zeugen: Wenden Sie die Standards an, die Sie z. Hd. gescheit halten, und testen Sie die Säumen, die Sie gesetzt nach sich ziehen, regelmäßig.

Schließlich sollen Verschlüsselung und digitale Signaturen Teil des Gesprächs sein. Wenn es sich um dasjenige Web handelt, sprechen wir mindestens von TLS (wiederholen Sie dasjenige Mantra: Wir zeugen keine Ruhe ohne TLS!). Andere Schnittstellen sollen ebenfalls verschlüsselt werden, damit wählen Sie Ihre Protokolle mit Bedachtsamkeit aus. Denken Sie daran, dass die statischen Informationen, sei es eine Datensammlung oder irgendwo ein Dateipool, ebenfalls verschlüsselt werden sollen. Nirgendwo flache Textdateien, egal wie “unschuldig”; Salz und Haschisch sollten welcher Standard sein. Und Prüfsummen sind unverzichtbar, wenn Dateien bereitgestellt oder empfangen werden, die bekannte Entitäten (Größe, Inhalt usw.) sind.

Schließlich kann es schwierig sein, die Schlüsselverwaltung richtig hinzubekommen. Erwarten Sie nicht, dass jeder DevOps-Mitwirkender mehr als eine perfekte digitale Schlüsselimplementierung verfügt, wenn ein anständiger Teil welcher Cybersecurity-Personen selbst nur mit halber Kraft damit umgeht. Umziehen Sie im Zweifelsfall zurück zum OWASP Cheat Sheet! Hierfür ist es da.

Reaktion aufwärts verschmelzen API-Sturm

Die Kardinalregel lautet: Wenn Ihre API ausfallen wird, klemmen Sie den Zugriff ab. Unter keinen Umständen sollten Dienste in einem offenen oder zugänglichen Zustand fehlschlagen. Denken Sie daran, die Tarif zu begrenzen und Fehlermeldungen von kurzer Dauer und allgemein zu halten. Zeugen Sie sich keine Sorgen um Honigtöpfe oder API-Gefängnisse – sorgen Sie sich um Ihr Überleben.

Maßgeschneiderte API-Angriffe aufwärts individueller Fundament sollen wie jeder andere Angriffsversuch behandelt werden. Befolgen Sie Ihre SOP, unabhängig davon, ob Sie den Versuch selbst oder mehr als eine KI/ML-Betrachtung abgefangen nach sich ziehen. Sparen Sie nicht, denn es ist „nur“ eine API.

API-Sicherheit unterscheidet den mittelmäßigen CISO, welcher sich ausschließlich aufwärts die Unterbau konzentriert, vom meisterhaften CISO, welcher sich mit tatsächlichen Geschäftsbedrohungen befasst und die Überlebensfähigkeit gewährleistet. Erstellen Sie ein System z. Hd. API-Sicherheit, erstellen Sie eine Automatisierung z. Hd. wiederverwendbare Schnittstellentests und halten Sie Ihr API-Inventar aufwärts dem neuesten Stand.