Höhenunterschied API-basierter Angriffe unterstreichen Investitionen in neue Tools

Unternehmen verlassen sich zunehmend aufwärts APIs oder Anwendungsprogrammierschnittstellen, die es Anwendungen und Websites zuteilen, aufwärts Statistik aus mehreren Quellen zuzugreifen und neue Funktionen von Drittanbieterplattformen zu integrieren. Obwohl APIs Organisationen hierbei helfen, ihre digitalen Angebote zu erweitern, retten sie wenn schon erhebliche Sicherheitsrisiken pro Unternehmen.

Ohne geeignete Sicherheitskontrollen können Angreifer APIs vergewaltigen und Statistik aus Anwendungen herunternehmen. Zu den aufsehenerregenden Vorfällen im letzten Jahr gehörten dies Scrapen von Benutzerdaten von dieser Social-Media-Site Parler obig API-Aufrufmanipulation und die Verwendung eines versehentlich freigelegten Tokens, um die vollständigen Kontaktdaten von 50 Mio. LinkedIn-Benutzern zu zusammenschließen. Unsachgemäß konfigurierte APIs führten dazu, dass Peloton versehentlich Benutzerdaten preisgab und Experian Kreditwürdigkeit durchsickerte.

“Die Welt hat erkannt, dass APIs taktgesteuert dies schwächste männliches Glied in dieser Anwendungssicherheit und dies attraktivste Ziel pro schlechte Akteure sind”, sagt Roey Eliyahu, Vorsitzender des Vorstands und Mitbegründer von Salt Security.

Angreifer können die kürzlich prestigeträchtig gewordene Schwachstelle in Log4j wenn schon obig API-Aufrufe offensiv vorgehen, sagt Eliyahu. Jeder API-Kontrollabgabe enthält viele Variable und viele von ihnen rufen unumwunden verschmelzen Protokollierungsbefehl aufwärts. Ein bösartiger Handelnder könnte notfalls den Zahl dieser Variable in Quellcode ändern, dieser von dieser Protokollierungsbibliothek aufgerufen würde, welches zu einer Remote-Codeausführung münden würde, sagt er.

Wirklichkeit dieser API-Sicherheit
Solange bis 2022 werden API-basierte Angriffe dieser häufigste Angriffsvektor pro Anwendungen sein, prognostiziert Gartner.

In diesem Umfeld gab Noname Security prestigeträchtig, dass es 135 Mio. US-Dollar im Rahmen dieser Series-Kohlenstoff-Finanzierung aufgebracht hat, wodurch sich dieser Gesamtbetrag aufwärts 220 Mio. US-Dollar erhoben, seit dem Zeitpunkt dies Unternehmen im zwölfter Monat des Jahres 2020 aus dieser Tarnung hervorgegangen ist. Die jüngste Finanzierungsrunde bringt dies Startup aufwärts obig 1 Mrd. US-Dollar Priorisierung.

„Wir freuen uns sehr, selbige Sorte von Validierung pro den API-Sicherheitsmarkt zu sehen“, sagt Eliyahu. Qua Salt Security vor fünf Jahren aufwärts den Markt kam, wurde dieser Sicherheit, die sich aufwärts den Schutzmechanismus von APIs konzentrierte, nicht viel Gabe geschenkt.

Es gibt verschiedene Arten von API-basierten Angriffen, daher undichte APIs können am häufigsten vorkommen – wohnhaft bei denen Angreifer die Authentifizierungs- und Autorisierungsrichtlinien dieser API zermürben, um aufwärts Statistik zuzugreifen. Eine andere Angriffsmethode beinhaltet die Verwendung von API-Hereinrufen, um kritische Prozesse zu starten oder zu stoppen. Wenn man bedenkt, wie omnipräsent APIs geworden sind, kann die Möglichkeit von Angreifern, Gimmick ein- oder auszuschalten, schwerwiegende Gehorchen in dieser physischen Welt nach sich ziehen. Und schließlich können API-Angriffe Kontoübernahmen zuteilen, die es Angreifern zuteilen, nicht autorisierte Finanztransaktionen aufwärts diesen Konten auszuführen.

Organisationen werden unterschiedlich sein, welche Sorte von API-Sicherheitsvorfällen qua schwerwiegender gemocht werden, da jede Organisation andere Geschäftsanforderungen und Risikotoleranz hat. Wenige Unternehmen versuchen, zwischen einem API-Zwischenfall und einer Datenschutzverletzung zu unterscheiden, welches darauf hindeutet, dass ein API-Zwischenfall selbst dann, wenn Statistik offengelegt wurden, in gewisser Weise weniger schwerwiegend ist qua eine Verletzung selbst. Es gibt jedoch greifbarere finanzielle Preis wohnhaft bei Vorfällen, die Angreifern die Möglichkeit schenken, nicht autorisierte Aktionen durchzuführen, wie zum Denkweise die Darlegung bestimmter Finanztransaktionen, sagt Eliyahu.

“Dennoch pro den Verbraucher, dessen persönliche Statistik ohne Rest durch zwei teilbar im Dark Web verkauft wurden, ist selbige Unterscheidung nebensächlich”, sagt Eliyahu. “Reputationsschaden richtet immer noch Schaden an.”

AP-Sicherheitstools aufwärts dem Markt
Widerwille robuster Sicherheitstools und ausgeklügelter Anwendungssicherheitsteams konnten Angreifer APIs nutzen, um an die sensibelsten Statistik und Dienste von Unternehmen zu gelangen, sagt Eliyahu. Hier können neue Tools helfen, die Lücke zu schließen.

Die API-Sicherheitsplattform von Noname analysiert Konfigurationseinstellungen, Netzwerkverkehr und Quellcode, um Unternehmen hierbei zu helfen, Sicherheitsprobleme mit APIs proaktiv zu wiedererkennen und zu beheben und riskanter Substanzkonsum zu verhindern. Die Plattform verwendet künstliche Intelligenz, um ein grundlegendes Verständnis dazu zu schaffen, wie sich eine API typischerweise verhält. Die Plattform ergreift Maßnahmen, wenn dies API-Verhalten von dieser Baseline abweicht.

In ähnlicher Weise zielt die Plattform von Salt Security darauf ab, API-basierte Angriffe zu verhindern, während sie KI- und Machine-Learning-Technologien verwendet, um den Verkehrswesen von Web-, Software-as-a-Tafelgeschirr-, Mobil-, Microservice- und WWW-of-Things-APIs zu parsen und eine Fundament pro normales Verhalten zu erstellen . Salt Security verwendet die Baseline, um Anomalien zu identifizieren, die aufwärts Angreifer während dieser Aufklärungsphase hinweisen können.

„Die alten Werkzeuge reichen leicht nicht aus, und die Welt ist im vergangenen Jahr noch stärker aufwärts selbige Wirklichkeit dabei geworden“, sagt Eliyahu.