Sicherheitsreport von Akamai

API-Schwachstellen stellen weltweit ein hohes Risiko dar

Akamai Technologies veröffentlicht neue Forschungsergebnisse über die sich wandelnde Bedrohungslandschaft für Programmierschnittstellen (APIs). Laut Gartner werden diese bis 2022 zum häufigsten Online-Angriffsvektor.

Der Bericht „API: Die Angriffsfläche, die uns alle verbindet“ ist die neueste Veröffentlichung der „State of the Internet“-Sicherheitsberichtsreihe von Akamai. Der neue Bericht umfasst auch eine Zusammenarbeit zwischen Akamai und den Veracode-Forschern, darunter einen Gastbeitrag von Chris Eng, dem Chief Research Officer von Veracode.

Anzeige

APIs sind von Natur aus so konzipiert, dass sie schnell und einfach zwischen verschiedenen Plattformen integriert werden können. Das ist komfortabel und verspricht ein gutes Nutzererlebnis und führt dazu, dass APIs für viele Unternehmen von entscheidender Bedeutung sind. Genau das macht sie aber auch zu beliebten Zielen für Cyberkriminelle. Der Bericht von Akamai identifiziert die wiederkehrenden Muster in API-Schwachstellen, die trotz Verbesserungen in Softwareentwicklungslebenszyklen (SDLCs) und Testtools bestehen. Häufig wird der API-Sicherheit zugunsten einer schnellen Veröffentlichung nur wenig Zeit gewidmet. Viele Unternehmen setzen auf herkömmliche Netzwerksicherheitslösungen. Diese aber sind zum Schutz der breiten Angriffsfläche, die APIs bieten, nicht ausgelegt.

„Von fehlerhaften Authentifizierungs- und Sicherheitslücken bis hin zu einfachen Fehlkonfigurationen gibt es zahlreiche API-Sicherheitsbedenken für jeden, der eine internetfähige Anwendung erstellt“, erklärt Steve Ragan, Sicherheitsforscher bei Akamai und Autor des „State of the Internet“-Sicherheitsberichts. „API-Angriffe werden häufig weder erkannt noch gemeldet, wenn sie erkannt werden. Anders als DDoS-Angriffe und Ransomware erhalten Angriffe auf APIs nicht das gleiche Maß an Aufmerksamkeit. Der hauptsächliche Grund: Kriminelle nutzen APIs auf eine weniger auffällige Art und Weise als es etwas bei einem gut ausgeführten Ransomware-Angriff der Fall wäre. Das bedeutet jedoch nicht, dass solche Angriffe ignoriert werden sollten.“

Es ist nicht immer klar, wo sich API-Schwachstellen befinden. APIs sind beispielsweise oft in Apps verborgen, was zu dem Fehlschluss führt, sie wären immun gegen Manipulation. Entwickler gehen davon aus, dass Nutzer nur über die mobile Nutzeroberfläche (UI) mit den APIs interagieren. Der Akamai-Report verdeutlicht, dass dies nicht der Fall ist.

Anzeige

Chris Eng, Chief Research Officer bei Veracode kommentiert: „Vergleichen Sie die Top 10 des Open Web Application Security Projects (OWASP) mit den Top 10 für API-Sicherheit. Die letztgenannten sollen die „einzigartigen Schwachstellen und Sicherheitsrisiken“ von APIs beseitigen. Sieht man jedoch genauer hin, zeigen sich exakt dieselben Schwachstellen in einer leicht abgeänderten Reihenfolge und beschrieben in einem leicht veränderten Wortlaut. Was die Sache noch schlimmer macht, ist, dass sich API-Aufrufe (konstruktionsgemäß!) einfacher und schneller automatisieren lassen – ein zweischneidiges Schwert, von dem sowohl Entwickler als auch Angreifer profitieren.“

Spitzenlasten durch Angriffstraffic weisen auf das Fortbestehen von API-Schwachstellen hin 

Außerdem beschreibt der Bericht wie Akamai den Angriffstraffic über 18 Monate zwischen Januar 2020 und Juni 2021 überprüft und dabei insgesamt mehr als 11 Milliarden versuchte Angriffe gefunden hat. Mit 6,2 Milliarden dokumentierten Versuchen steht SQL Injection (SQLi) weiterhin an der Spitze der Trendliste für Webangriffe, gefolgt von Local File Inclusion (LFI) mit 3,3 Milliarden und Cross-Site Scripting (XSS) mit 1,019 Milliarden.

Obwohl es schwierig ist, in den oben genannten Angriffen den Prozentsatz von reinen API-Angriffen zu ermitteln, veröffentlichte das Open Web Application Security Project (OWASP), eine gemeinnützige Stiftung zur Verbesserung der Sicherheit von Software, kürzlich eine Liste der Top 10 in API-Sicherheit, die weitgehend die Ergebnisse von Akamai widerspiegelte.

Weitere Highlights des Berichts umfassen:

  • Credential-Stuffing-Angriffe, die über die 18 Monate zwischen Januar 2020 und Juni 2021 verfolgt wurden, blieben stabil, wobei im Januar 2021 und im Mai 2021 einzelne Tagesspitzenwerte von über einer Milliarde Angriffen verzeichnet wurden.
     
  • Die USA waren während dieses Beobachtungszeitraums das wichtigste Ziel für Angriffe auf Webanwendungen, mit fast dem Sechsfachen des Traffics von England, das an zweiter Stelle stand.
     
  • Die USA standen ebenfalls an erster Stelle in der Quellliste für Angriffe. Damit lösen sie mit der fast vierfachen Menge an Traffic Russland ab.
     
  • Der DDoS-Traffic ist im Jahr 2021 bisher konstant geblieben, wobei früh im ersten Quartal des Jahres 2021 Spitzenwerte verzeichnet wurden. Im Januar 2021 verzeichnete Akamai an einem einzigen Tag 190 DDoS-Ereignisse, gefolgt von 183 im März.

Weitere Informationen:

Lesen Sie den Akamai-Bericht 2021: „API: Die Angriffsfläche, die uns alle verbindet“ auf Akamais „State of the Internet“-Seite.

www.akamai.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.