API-Angriffe nahmen um 681 Prozent zu

Salt Security, Anbieter von API-Sicherheit, veröffentlicht den Salt Labs State of API Security Report, Q1 2022. Die aktuelle Version des halbjährlichen Berichts zeigt, dass 95 Prozent der befragten Unternehmen in den letzten zwölf Monaten einen API-Sicherheitsvorfall erlebt haben.

Trotz des dramatischen Anstiegs der Angriffe und Vorfälle sind diese Unternehmen, die allesamt Produktions-APIs betreiben, nach wie vor nicht auf API-Angriffe vorbereitet: 34 Prozent der Befragten verfügen über keinerlei API-Sicherheitsstrategie. Dieser Mangel an Schutz stellt für Unternehmen ein erhebliches Geschäftsrisiko dar – die Folgen sind verzögerte Innovationen, weniger Vertrauen durch Kunden und gedämpfte Modernisierungsbemühungen.

Anzeige

Der State of API Security Report basiert auf einer Kombination aus Umfrageergebnissen und empirischen Daten aus der Salt SaaS-Cloud-Plattform. Die Anzahl der Angriffsversuche auf Salt-Kunden, die durch die Salt-Plattform abgewehrt wurden, nahm enorm zu: Der Traffic durch API-Angriffe stieg um 681 Prozent, während der allgemeine API-Traffic um 321 Prozent zunahm. Verständlicherweise gaben 62 Prozent der Umfrageteilnehmer zu, dass sich die Einführung einer neuen Applikation aufgrund von API-Sicherheitsbedenken verzögert habe.

“Um heutzutage erfolgreich zu sein, muss jedes Unternehmen ein Softwareunternehmen sein, und APIs sind das Herzstück der Anwendungen. Digitale Unternehmen haben sich zu den führenden Unternehmen unserer modernen Wirtschaft entwickelt, und gleichzeitig sind sie zu den führenden Zielen für bösartige Akteure geworden”, sagte Roey Eliyahu, Mitbegründer und CEO von Salt Security. “Wir beobachten, dass API-Angriffe von Jahr zu Jahr deutlich zunehmen. Noch besorgniserregender ist, dass die Zunahme der API-Nutzung sowie der Angriffe weiterhin die Reaktionsfähigkeit und die Abwehrmöglichkeiten von Unternehmen übersteigt. Unternehmen müssen die Zeit und den Aufwand investieren, um die Art und Weise API-Angriffe und die kritischen Fähigkeiten zu verstehen, die zum Schutz ihrer wichtigsten Ressourcen erforderlich sind.”

Da fast jeder Umfrageteilnehmer (95 Prozent) einen API-Sicherheitsvorfall in seinen Produktions-APIs feststellte, ist es dringend erforderlich, eine robuste API-Sicherheitsstrategie zu entwickeln. Salt-Kunden stellten auch eine zunehmende Häufigkeit von Angriffen fest, wobei zwölf Prozent durchschnittlich mehr als 500 Angriffen pro Monat ausgesetzt waren.

Anzeige

“APIs stellen einen attraktiven Angriffsvektor dar, obwohl Unternehmen alles daransetzen, APIs zu validieren, bevor sie sie für die Produktion freigeben”, sagt Michael Isbitski, Technical Evangelist bei Salt Security. “Da herkömmliche Sicherheits- und API-Verwaltungsplattformen sich nicht vor ausgefeilten Angriffen schützen können, die auf die einzigartige Business-Logik von APIs abzielen, ist es keine Überraschung, dass Angreifer weiterhin erfolgreich sind und Unternehmen gefährden.”

Sicherheitsbedenken stehen an erster Stelle der Herausforderungen

Die Umfrageteilnehmer haben eine Vielzahl von Bedenken bezüglich der API-Programme ihrer Unternehmen, wobei 40 Prozent die Sicherheit als ihre größte Sorge anführen. Unzureichende Investitionen in die Pre-Production-Sicherheit stehen mit 22 Prozent an erster Stelle, und weitere 18 Prozent der Befragten sind besorgt, dass das Programm die Laufzeit- oder Produktionssicherheit nicht angemessen berücksichtigt. Unzureichende Investitionen in die Ausarbeitung von Anforderungen und Dokumentation sind für 19 Prozent der Befragten die größten Bedenken.

Die meisten Unternehmen sind nicht auf einen API-Angriff vorbereitet

Die vielen Sicherheitsvorfälle und die Aufforderungen von Sicherheitsexperten, API-Sicherheitsmaßnahmen zu implementieren, haben nicht ausgereicht, um die Mehrheit der Unternehmen dazu zu bewegen, effektive API-Sicherheitsstrategien einzuführen. Von den Umfrageteilnehmern haben 34 Prozent keine Strategie, und etwas mehr als ein Viertel (27 Prozent) hat nur eine Basisstrategie. Nur 11 Prozent verfügen über eine fortgeschrittene Strategie, die spezielle API-Tests und -Schutz beinhaltet.

Die Ergebnisse stützen auch die Annahme, dass Budget- und Qualifikationsdefizite eine Rolle bei dieser mangelnden Bereitschaft spielen. Fehlende Fachkenntnisse oder Ressourcen (35 Prozent) und Budgetbeschränkungen (20 Prozent) sind die größten Hindernisse für die Umsetzung einer optimalen API-Sicherheitsstrategie. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Übermäßiges Vertrauen in “Shift Left”-Praktiken

Die Runtime-Protection ist für einen wirksamen API-Schutz von grundlegender Bedeutung. 95 Prozent der Befragten haben innerhalb des letzten Jahres einen API-Sicherheitsvorfall erlebt, deshalb erweisen sich “Shift Left”-Praktiken für die API-Sicherheit als unzureichend. Dieses Problem wird durch die Tatsache verstärkt, dass IT-Teams nach wie vor geteilter Meinung über die Zuständigkeit für die API-Sicherheit sind. Mehr als die Hälfte der Umfrageteilnehmer geben an, dass die Hauptverantwortung bei den Entwicklern, DevOps oder DevSecOps liegt. Nur 31 Prozent der Befragten weisen die Verantwortung für die API-Sicherheit den AppSec- oder InfoSec-Teams zu.

WAFs und API-Gateways entdecken nicht alle API-Angriffe

Das Vertrauen in traditionelle Sicherheits- und API-Verwaltungstools wie Web Application Firewalls (WAFs) und API-Gateways hat bei vielen Unternehmen ein falsches Sicherheitsgefühl hinterlassen: 95 Prozent der Befragten haben die im letzten Jahr einen API-Sicherheitsvorfall erlebt, dabei haben sich 55 Prozent auf Warnungen von Gateways verlassen und 37 verwendeten WAFs, um Angriffe zu erkennen. Das reine Vertrauen auf die Analyse von Logfiles (45 Prozent) für die API-Sicherheit ist ähnlich ineffizient – bis die Protokolldateien analysiert sind, hatten Angreifer längst Zugang zu wertvollen Daten und Payloads.

API-Angriffe zu stoppen, bleibt die wichtigste Anforderung an eine API-Sicherheitsplattform

Zum dritten Mal in Folge nannten mehr Befragte (42 Prozent) das Stoppen von API-Angriffen als die wichtigste Fähigkeit, die sie von einer API-Sicherheitsplattform erwarten. Das Identifizieren der APIs, die personenbezogene Informationen und sensible Daten preisgeben, folgt an zweiter Stelle (41 Prozent). An dritter Stelle steht die Fähigkeit, APIs im Laufe der Zeit zu stärken (38 Prozent), und an vierter Stelle folgt die Einhaltung von Compliance- oder gesetzlichen Vorgaben (36 Prozent).

Weitere Erkenntnisse aus dem State of API Security Report:

  • Das Risiko von “Zombie”- oder veralteten APIs führt die Liste der API-Sicherheitsbedenken an, wobei 43 Prozent der Befragten dies als ihre größte Sorge angeben. An zweiter Stelle steht die Übernahme von Zugangskonten, wobei 22 Prozent dieses Risiko als ihre größte Sorge betrachten.
     
  • API-Änderungen sind auf dem Vormarsch – 9 Prozent der Befragten aktualisieren ihre APIs täglich, 31 Prozent wöchentlich und 24 Prozent seltener als jeden Monat.
     
  • 96 Prozent der Angriffe auf Salt-Kunden erfolgen auf authentifizierte APIs.
     
  • 86 Prozent der Befragten sind sich nicht sicher, ob sie wissen, welche APIs sensible Daten übertragen.
     
  • 85 Prozent der Befragten gaben an, dass ihre derzeitigen Tools API-Angriffe nicht wirksam abwehren können.
     
  • 83 Prozent der Befragten haben kein volles Vertrauen in ihre bestehenden APIs.

API-Sicherheit verbessert die Arbeitsweise von Sicherheitsteams

Obwohl die Unternehmen sehr unterschiedliche Ansichten darüber haben, wer die Verantwortung für die API-Sicherheit tragen sollte, nehmen die Zusammenarbeit und der gemeinsame Input zwischen Sicherheits- und DevOps-Teams zu. Mehr als ein Drittel der Befragten (34 Prozent) gibt an, dass Sicherheitsteams in Bezug auf die API-Sicherheit verstärkt mit DevOps zusammenarbeiten. Weitere 30 Prozent geben an, dass DevOps bei der Gestaltung von API-Richtlinien den Input von Sicherheitsteams suchen. 25 Prozent der Unternehmen binden Security Engineers in DevOps-Teams ein, um die Herausforderung zu meistern. Die Umfrage ergab auch, dass mehr Sicherheitsteams die OWASP API Top 10 Liste der Bedrohungen hervorheben – 61 Prozent in diesem Report, vor sechs Monaten waren es noch 50 Prozent.

Der State of API Security Report, Q1 2022 wurde zusammengestellt von Salt Labs, der Forschungsabteilung von Salt Security, unter Verwendung von Umfragedaten von mehr als 250 Sicherheits-, Anwendungs- und DevOps-Führungskräften und -Experten sowie anonymisierten und aggregierten empirischen Daten von Salt Security-Kunden, die von der Salt Security API Protection Platform stammen.

www.salt.security

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.