Den Datenverkehr über APIs abfangen, Backend Server und Geschäftslogik identifizieren, mögliche Sicherheitslücken abprüfen … und dann der Angriff! Hacker arbeiten vermehrt mit Bots und Cyberkriminelle gehen dabei immer professioneller vor.
Viele Apps werden heutzutage nach dem „API-first-Prinzip“ entwickelt. Die Programmierschnittstellen in den Vordergrund zu rücken, begünstigt eine beschleunigte Markteinführung. Ein weiterer Trend sind Single Page Applications; also Apps, die aus einem einzigen HTML-Dokument bestehen, deren Inhalte dynamisch nachgeladen werden. Sie werden für mobile Browser entwickelt und simulieren Mobile-Apps, ohne dass eine solche installiert werden muss.
„Bei einer Web-Anwendung ist der Browser ein Vermittler. Er spricht mit der Anwendung, und diese führt bestimmte Aktionen auf der Grundlage der Anfrage des Nutzers aus und antwortet über den Browser. Die gesamte Geschäftslogik ist in der Anwendung versteckt und die meisten Angriffe sind bekannt. Bei einer API-basierten Anwendung werden Daten über das API abgefragt und auf Basis dieser dann die Geschäftslogik auf dem End-Client-Gerät ausgeführt,“ erläutert T. Richabadas, Product Marketing Manager, Application Security bei Barracuda Networks.
Wenn es gelingt, API-Verkehr abzufangen, ist es möglich den Backend-Server zu identifizieren, die Logik zu ermitteln und logische Prüfungen durchzuführen, um Sicherheitslücken zu entdecken und das System zu attackieren. APIs ermöglichen einen direkten Zugriff auf viele sensible Informationen.
„Ihre Bank-API kann Zugriff auf sensible private Daten gewähren, und eine unzureichend geschützte API ermöglicht es Angreifern, diese Informationen massenhaft abzurufen“, so der Security-Spezialist.
Cyberkriminelle suchen regelrecht nach offenen APIs. Sehr häufig sieht man Unternehmen, die ihre Test-APIs mit Zugriff auf Produktionsdaten im Internet freilegen. Wenn Cyberkriminelle diese entdeckt haben, kann dies großen Schaden anrichten.
Ein weiteres Problem sind APIs, die unzureichend geschützt sind. Für Profis ist es relativ einfach, APIs zu testen, um zu erkennen, ob sie ein Bewertungslimit erzwingen. IT-Security-Teams sollten sich zunächst an den Top-10-Empfehlungen des OWASP (Open Web Application Security Project) zur API Security der zehn am häufigsten genutzten Schwachstellen orientieren, um ihre Verteidigung zu stärken. Eine Strategie mit mehrschichtigen Schutzmaßnahmen gegen Bot-, API- und Supply-Chain-Angriffen ist der beste Weg, um auf diese zunehmenden Angriffe zu antworten.
Barracuda hat in dem Report „The state of application security in 2021“ die Anwendungssicherheit unter die Lupe genommen. Demnach wurden durchschnittlich über zwei Drittel (72%) der befragten Organisationen in den letzten zwölf Monaten mindestens einmal attackiert. Organisationen werden vermehrt über ihre Web-Anwendungen angegriffen. Fast die Hälfte der Befragten (46%) verzeichnete mehrfach und ein Viertel (26%) der Befragten verzeichnete mindestens einmal einen sicherheitskritischen Angriff. Dabei haben Bot-Angriffe mit 44% traditionelle Angriffe über Zero-Day-Schwachstellen oder die Top-10-Schwachstellen des OWASP überholt und stellen heute den häufigsten Angriffstyp dar. Und diese Angriffe durch Bots sind in der Praxis immer schwieriger abzuwehren.
16.07.2021
