CIS-Dienste wie DDoS-Mitigation und Web Application Firewall zum Schutz von API-Gateways und zur Bewältigung anderer Sicherheitsherausforderungen

Überblick

Die Grundlage für den digitalen Wandel vieler Unternehmen ist die Anwendungsprogrammierbare Schnittstelle (API). Die Bedeutung von APIs am Arbeitsplatz wächst, egal ob sie zum Erstellen von Anwendungen in neuen Cloud-nativen Mikrodiensten und serverlosen Architekturen, zur Automatisierung von Business-to-Business-Aktivitäten oder als Backend für mobile Anwendungen verwendet werden. Leider sind sich Cyberkriminelle dieses Trends hin zu einer API-zentrierten Welt bewusst und entwickeln neue Angriffsmethoden in einem Tempo, das der API-Erweiterung entspricht. Daher müssen Unternehmen dringend neue Sicherheitsmaßnahmen implementieren, um ihre APIs und andere digitale Assets zu sichern. Die Kombination eines API-Gateways mit einem API-Zugriffsverwaltungssystem, das einen zentralen Kontrollpunkt mit sorgfältig überwachten Richtlinien und kontextabhängiger Zugriffsverwaltung bietet, ist die ideale Methode zum Schutz Ihrer APIs. Unternehmen werden in der Lage sein, die spezifischen Risiken zu verstehen, Sicherheitslücken zu lokalisieren und Bedrohungen zu identifizieren, wenn eine Webanwendungs- und API-Sicherheitslösung in die Planung, Ausführung oder Optimierung der Informationssicherheitsstrategie integriert wird.

Arten von Sicherheitsrisiken bei Webanwendungen

Abhängig von den Zielen des Angreifers, der Art der Arbeit der angegriffenen Organisation und den spezifischen Sicherheitsmängeln der Anwendung können unterschiedliche Angriffsarten gegen Webanwendungen eingesetzt werden.

• Zero-Day-Fehler: Diese Schwachstellen wurden bisher noch nicht von einem Anwendungsentwickler entdeckt und es ist noch kein Fix verfügbar. Angriffe zielen darauf ab, diese Schwachstellen so schnell wie möglich auszunutzen und dann häufig zu versuchen, die Abwehrmaßnahmen der Sicherheitsanbieter zu durchbrechen.
• SQL-Injection (SQi): Mithilfe von SQL-Injection (SQi) kann ein Angreifer Schwachstellen in der Verarbeitung von Suchanfragen durch eine Datenbank ausnutzen. Angreifer können mithilfe von SQi Benutzerberechtigungen ändern oder hinzufügen, auf nicht autorisierte Informationen zugreifen, vertrauliche Daten manipulieren oder löschen und vieles mehr.

Im Juli 2022 wurde kürzlich in einer Sicherheitswarnung ein schwerwiegendes SQL-Injection-Problem öffentlich gemacht, das die Produkte GMS (Global Management System) und Analytics On-Prem von SonicWall betraf. Der Fehler hat eine kritische Bewertung von 9,4 und wird als CVE-2022-22280 verfolgt. Aufgrund der minimalen Angriffskomplexität und des enormen Schadenspotenzials dieser Schwachstelle kann sie jeder mit grundlegenden Kenntnissen von SQL-Injection ausnutzen. Es ist keine Benutzerinteraktion oder Authentifizierung erforderlich, um CVE-2022-22280 vom Netzwerk aus zu verwenden.

• Cross-Site-Scripting (XSS): Es handelt sich um eine Sicherheitslücke, die es einem Angreifer ermöglicht, clientseitige Skripte in eine Webseite einzufügen, um direkten Zugriff auf wichtige Informationen zu erhalten, sich als Benutzer auszugeben oder den Benutzer dazu zu bringen, wichtige Informationen preiszugeben.
• Denial-of-Service-Angriffe (DoS) und Distributed-Denial-of-Service-Angriffe (DDoS): Angreifer können verschiedene Vektoren verwenden, um einen Zielserver oder die ihn umgebende Infrastruktur mit verschiedenen Arten von Angriffsverkehr zu überfluten. Ein Server reagiert träge und verweigert schließlich den Dienst für eingehende Anfragen von echten Benutzern, wenn er eingehende Anfragen nicht mehr effizient verarbeiten kann.

Laut Check Points „Threat Intelligence Report 2023“ war ein einzelnes indisches Unternehmen in den letzten sechs Monaten durchschnittlich 2.146 Cyberangriffen pro Woche ausgesetzt, im Vergleich zu 1.239 Angriffen pro Unternehmen weltweit. Mit der schnelleren Bereitstellung digitaler Plattformen, Anwendungen und Umgebungen für die Fernarbeit von zu Hause aus, die COVID-19 mit sich brachte, nahmen DDoS-Angriffe weltweit zu. Geopolitische Krisen, insbesondere der Krieg Russlands gegen die Ukraine und ihre NATO-Verbündeten, sind ebenfalls mit einem deutlichen Anstieg von DDoS-Angriffen verbunden, insbesondere auf die Sektoren Gesundheitswesen, Energie und Versorgung sowie Logistik und Lieferketten. Diese vermehrten DDoS-Angriffe zielen auf die wesentliche Infrastruktur der Gegner.

Comcast Business gab in einem Bericht aus dem Jahr 2022 an, dass es im Jahr 2021 24.845 Multi-Vektor-DDoS-Angriffe erfolgreich abgewehrt habe, was einer Steigerung von 47 % gegenüber 2020 entspricht. Im Jahr 2021 waren 69 % der Kunden von Comcast von DDoS-Angriffen betroffen, und 55 % davon waren Ziele von Multi-Vektor-Angriffen.

Der globale Markt für Distributed-Denial-of-Service-Angriffe hat in den letzten Jahren aufgrund der zunehmenden DDoS-Bedrohungen in IoT-Umgebungen ein erhebliches Wachstum erlebt. Darüber hinaus gelten der Anstieg von Multi-Vektor-DDoS-Angriffen und die steigende Nachfrage nach Cloud-basierten und hybriden DDoS-Schutz- und -Mitigationslösungen als wichtige Faktoren, die das Wachstum im Prognosezeitraum fördern.

Weitere Informationen zur Studie finden Sie unter:https://www.databridgemarketresearch.com/de/reports/global-distributed-denial-of-service-market

• API-Missbrauch: Software, die es zwei Apps ermöglicht, eine Verbindung herzustellen, wird als API oder Anwendungsprogrammierschnittstelle bezeichnet. Wie jede Art von Software können sie Fehler enthalten, die es Hackern ermöglichen, bösartigen Code in ein bestimmtes Programm einzufügen oder private Informationen auszuspionieren, während diese zwischen Anwendungen übertragen werden. Mit der zunehmenden Nutzung von APIs wird diese Art von Angriff immer häufiger.
• Missbrauch von Drittanbieter-Code: Moderne Webanwendungen verwenden häufig eine Vielzahl von Tools von Drittanbietern. Ein Beispiel ist eine [E-Commerce-Site], die einen Zahlungsabwicklungsdienst eines Drittanbieters verwendet. Wenn ein Angreifer einen Fehler in einem dieser Tools entdeckt, kann er möglicherweise die von ihm verarbeiteten Daten stehlen, seine Funktion beeinträchtigen oder ihn ausnutzen, um Schadcode in andere Teile der Anwendung einzuschleusen. Zu dieser Angriffsklasse gehören Magecart-Angriffe, bei denen Kreditkarteninformationen von Zahlungsabwicklern gestohlen werden. Diese Angriffe werden manchmal als Supply-Chain-Angriffe auf Browser bezeichnet.
• Seiten Scraping: Angreifer können Bots auch verwenden, um wichtige Inhalte von Websites abzugreifen. Sie könnten diese Informationen nutzen, um die Preise eines Konkurrenten zu unterbieten, sich für böse Zwecke als Seiteninhaber auszugeben oder andere Ziele zu verfolgen.
• Speicherbeschädigung: Bei Speicherbeschädigungen handelt es sich um unbeabsichtigte Änderungen an einem Speicherort, die zu unerwartetem Verhalten der Software führen können. Böswillige Akteure versuchen, Speicherbeschädigungen zu erkennen und Exploits wie Code-Injektion oder Pufferüberlaufangriffe zu ihrem Vorteil zu nutzen.
• Pufferüberlauf: Eine Softwareanomalie, die als Puffer bezeichnet wird, tritt auf, wenn Daten in einen bestimmten Speicherbereich geschrieben werden. Wenn der Puffer seine Kapazität erreicht, werden die Daten in benachbarte Speicherbereiche umgeschrieben. Dieses Verhalten kann dazu verwendet werden, Schadcode in den Speicher des Zielcomputers einzuschleusen, was möglicherweise zu einer Sicherheitslücke führt.

Im August 2023 ist Ivanti Avalanche, ein Enterprise Mobility Management (EMM)-Tool zur Verwaltung, Überwachung und Sicherung verschiedener mobiler Geräte, von zwei stapelbasierten Pufferüberläufen betroffen, die gemeinsam als CVE-2023-32560 gekennzeichnet sind. Die Schwachstellen sind ohne Benutzerauthentifizierung aus der Ferne ausnutzbar und werden als kritisch eingestuft (CVSS v3: 9.8), sodass Angreifer beliebigen Code auf dem Zielsystem ausführen können.

• CSRF (Cross-Site Request Forgery): Cross-Site Request Forgery wird erreicht, indem ein Opfer dazu verleitet wird, eine Anfrage unter Verwendung seiner Authentifizierung oder Autorisierung zu senden. Ein Angreifer kann eine Anfrage senden und sich dabei als Benutzer ausgeben, indem er die Kontorechte des Benutzers ausnutzt. Sobald ein Angreifer Zugriff auf das Konto eines Benutzers erlangt hat, kann er vertrauliche Daten exfiltrieren, löschen oder ändern. Zu den Zielen gehören häufig stark geschützte Konten wie Administratoren oder Führungskräfte
• Credential Stuffing: Angreifer können Bots verwenden, um schnell eine große Anzahl gestohlener Benutzernamen- und Passwortkombinationen in die Anmeldeportale einer Online-Anwendung einzugeben. Dies wird als „Credential Stuffing“ bezeichnet. Wenn der Angreifer durch diese Vorgehensweise auf das Konto eines echten Benutzers zugreifen kann, kann er die Daten des Benutzers stehlen oder betrügerische Transaktionen unter dem Namen des Benutzers durchführen.
• Fehlkonfigurationen der Angriffsfläche: Die über das Internet zugänglichen Server, Geräte, SaaS- und Cloud-Ressourcen bilden den gesamten IT-Fußabdruck eines Unternehmens, der anfällig für Cyberangriffe ist. Eine Angriffsfläche kann weiterhin anfällig sein, indem einige Komponenten weggelassen oder konfiguriert werden.

Strategien für die Sicherheit von Webanwendungen

• DDoS-Minderung: DDoS-Abwehrdienste nutzen spezielle Filter und eine sehr hohe Bandbreite, um zwischen einem Server und dem öffentlichen Internet zu stehen und zu verhindern, dass bösartiger Datenverkehr den Server überlastet. Diese Dienste sind von entscheidender Bedeutung, da mehrere aktuelle DDoS-Angriffe so viel bösartigen Datenverkehr erzeugen, dass selbst die widerstandsfähigsten Server überlastet werden.
• Bot-Verwaltung: Diese Technik trennt automatisierten Datenverkehr von menschlichen Benutzern und verbietet ersteren den Zugriff auf eine Webanwendung mithilfe von maschinellem Lernen und anderen speziellen Erkennungstechniken.

Der Markt für Botnet-Erkennung hat in den letzten Jahren ein beträchtliches Wachstum erlebt, was auf die zunehmende Nutzung von APIs in verschiedenen Online-Geschäften, insbesondere im Gaming- und E-Commerce-Bereich, zurückzuführen ist. Die kontinuierliche Überwachung von API-Anfragen, die Implementierung einer Zero-Trust-Architektur und der Einsatz sofortiger Techniken zur Abwehr bösartiger Bots sind einige Möglichkeiten, um APIs vor Bot-Angriffen zu schützen.

Laut der Marktforschungsanalyse von Data Bridge wird für den weltweiten Markt zur Botnetz-Erkennung von 2022 bis 2029 eine durchschnittliche jährliche Wachstumsrate (CAGR) von 38,30 % prognostiziert.

Weitere Informationen zur Studie finden Sie unter:https://www.databridgemarketresearch.com/de/reports/global-botnet-detection-market

• Web Application Firewalls (WAF): Diese Geräte blockieren Datenverkehr, der bekannte oder vermutete Schwachstellen von Webanwendungen ausnutzt. Das schnelle und heimliche Auftauchen neuer Schwachstellen macht WAFs so wichtig, da fast keine Organisation sie selbst erkennen kann.
• Verwaltung der wesentlichen Komponenten des SSL/TLS-Verschlüsselungsprozesses, wie z. B. Erstellen privater Schlüssel, Erneuern von Zertifikaten und Widerrufen von Zertifikaten aufgrund von Fehlern durch Dritte. Dadurch wird die Möglichkeit ausgeschlossen, dass bestimmte Komponenten übersehen werden und vertraulicher Datenverkehr offengelegt wird.
• API-Gateways: Diese Tools können fehlende „Schatten-APIs“ finden und Datenverkehr stoppen, von dem bekannt ist oder angenommen wird, dass er darauf abzielt, API-Schwachstellen auszunutzen. Sie helfen bei der Verwaltung und Nachverfolgung des API-Datenverkehrs

Der Markt für Anwendungsprogrammierschnittstellen (API)-Management hat in den letzten Jahren ein erhebliches Wachstum erlebt, da der Bedarf an APIs zur Förderung der digitalen Transformation steigt und Unternehmen ein hybrides und Multi-Cloud-API-Management entwickeln, um die Benutzernachfrage zu erfüllen, was das Marktwachstum im Prognosezeitraum weiter unterstützen wird. Laut der Analyse von Data Bridge Market Research wird der Markt für den globalen Markt für prädiktive Analysen von 2023 bis 2030 voraussichtlich mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 31,05 % wachsen.

Weitere Informationen zur Studie finden Sie unter:https://www.databridgemarketresearch.com/de/reports/global-api-management-market

• DNSSEC: Eine Technologie, die sicherstellt, dass die DNS-Kommunikation für eine Webanwendung an die richtigen Server weitergeleitet wird. So werden Benutzer vor Abfangen durch Angreifer auf ihrem Weg geschützt.
• Clientseitige Sicherheit: Dies hilft Unternehmen, bösartiges Verhalten früher zu erkennen, indem sie nach neuen JavaScript-Abhängigkeiten von Drittanbietern und Änderungen am Drittanbietercode suchen.
• Angriffsflächenmanagement: Nutzen Sie einen Standort, um Ihre Angriffsfläche abzubilden, potenzielle Sicherheitsprobleme zu finden und diese Risiken mithilfe umsetzbarer Tools zur Angriffsflächenverwaltung schnell zu mindern.

Ideale Praktiken zur Anwendungssicherheit für verschiedene Unternehmen

• Sichere Autorisierung und Authentifizierung: Starke Passwortsicherheitsregeln sind integriert und werden durchgesetzt. Optionen für die Multi-Faktor-Authentifizierung, die Hardkeys, Zugriffskontrollfunktionen und andere Verfahren umfassen, erschweren es Angreifern, unbefugten Zugriff auf Benutzerkonten zu erhalten und sich seitlich innerhalb Ihrer Anwendung zu bewegen.
• Eingabevalidierung erforderlich: Verhindern, dass schädlicher Code durch einen Injektionsangriff in die Anwendung gelangt, indem die Verarbeitung falsch formatierter Daten durch die Arbeitsabläufe der Anwendung verhindert wird
• Nutzung der neuesten Verschlüsselungstechniken: Das Speichern von Benutzerdaten in einem verschlüsselten Format und die Verwendung von HTTPS zur Verschlüsselung der Übertragung sowohl des eingehenden als auch des ausgehenden Datenverkehrs tragen dazu bei, Datendiebstahl durch Hacker zu verhindern.
• Dokumentation der Codierungsänderungen: Dadurch können Sicherheits- und Entwicklungsteams neu entdeckte Schwachstellen schnell beheben
• Überwachungs-APIs: Es gibt Tools zum Auffinden von „Schatten-APIs“, die unbemerkt geblieben sind, aber eine Angriffsfläche darstellen könnten. Die API-Sicherheit wird jedoch einfacher, wenn APIs gar nicht erst übersehen werden.

Nutzung von Critical Security Controls (CIS)-Diensten in verschiedenen Branchen

Unternehmen aus vielen Branchen, darunter auch solche mit strengen Vorschriften, können Bot Management und andere CIS-Produkte auf Cloudflare-Basis nutzen, um Anforderungen an Sicherheit, Leistung und Belastbarkeit zu erfüllen. Zum Beispiel:

• Gesundheitspflege – Laut dem IBM Cost of a Data Breach Report stiegen die durchschnittlichen Kosten eines Datenschutzverstoßes im Gesundheitssektor von 10,10 Millionen USD im Jahr 2022 auf 10,93 Millionen USD im Jahr 2023, was einem Anstieg von 8,2 % entspricht. CIS-Dienste sind umso wichtiger, um diese teuren Angriffe zu stoppen, da das Gesundheitswesen im dreizehnten Jahr in Folge die höchsten Kosten pro Datenschutzverstoß verursacht. Kunden im Gesundheitswesen können die Kombination aus CIS DDoS, WAF und Bot Management nutzen, um gegen ausgeklügelte Malware-Bot-Angriffe vorzugehen.
• Finanzdienstleistungen - Banken und andere Finanzinstitute können CIS-Dienste wie DDoS-Abwehr und Web Application Firewall (WAF) nutzen, um Sicherheitsprobleme zu lösen. Kunden können ihre internetbasierten Apps gegen verschiedene Angriffe, einschließlich Day-Zero-Angriffe, schützen, indem sie die schlüsselfertigen Web Application Firewall (WAF)-Richtlinien nutzen.
• e-Einkauf - Die zunehmende Nutzung von APIs im E-Commerce hat auch die Möglichkeit von Sicherheitsproblemen mit APIs erhöht. API-Gateways können von E-Commerce-Organisationen mithilfe von CIS-Diensten zum DDoS-Schutz geschützt werden.
• Höhere Bildung - Bildungseinrichtungen, insbesondere Hochschulen, speichern in ihren umfangreichen Netzwerken große Mengen an Daten über alle Studenten, Professoren und Alumni. Cyberkriminelle können diese Daten dann nutzen, um ihre Angriffe auf bestimmte Ziele oder größere Pläne gegen Institutionen als Ganzes voranzutreiben.
• Konstruktion - Das Baugewerbe wird von „phishing-anfälligen“ Arbeitnehmern geplagt. Die Art der Daten, die die Baubranche sammelt, dient als Inspiration für solche Angriffe. Cyber-Angreifer sind an persönlichen Daten und wertvollen Informationen wie Geschäftsgeheimnissen, Bauplänen, Kostenvoranschlägen und Projektangeboten interessiert. Die gestohlenen Geschäftsinformationen können zu schweren Verletzungen und finanziellen Verlusten führen. Das CIS-Kontrollrahmenwerk befasst sich mit Problemen und Schwächen, die in der Branche bestehen.
• Automobilindustrie - Die Automobilindustrie betrachtet vernetzte und autonome Fahrzeuge heute als intelligente Maschinen, die große Mengen an Telemetriedaten sammeln. Diese Branche hat einen Grund, sich die API-Sicherheit genauer anzusehen, da es Schwachstellenlecks und API-basierte Proof-of-Concept-Exploits gibt.
• Kleine und mittlere Unternehmen stellen keine Branche dar, da sie zu beliebigen Unterkategorien gehören können. Es mag logisch erscheinen, dass Hacker sich weniger zu den relativ weniger wertvollen Vermögenswerten kleinerer „Organisationen“ hingezogen fühlen als zu den Vermögenswerten größerer Unternehmen, aber das ist bei weitem nicht der Fall. Laut Daten von Verizon waren kleine Unternehmen im Jahr 2020 an erschreckenden 28 % aller Datendiebstähle beteiligt. Kleine Unternehmen haben oft weniger Geld und verarbeiten weniger Daten als Großunternehmen, aber sie verfügen auch über weniger zuverlässige Sicherheitslösungen. Darüber hinaus verfügen viele kleine Unternehmen nur über eine unzureichende oder gar keine Cybersicherheit.

Strategische Initiativen verschiedener Unternehmen

• Im August 2023 gab Cloudflare bekannt, dass IBM Cloud Internet Services (CIS), betrieben von Cloudflare, sein Serviceangebot erweitert hat, darunter Cloudflare Bot Management, das jetzt für Unternehmen mit dem Enterprise Premier Plan zugänglich ist, um ihnen zu helfen, die wachsende Bedrohung durch schädlichen Bot-Verkehr anzugehen und entgegenzuwirken.
• Im Juni 2023 veröffentlichte SecureIQLab, ein Anbieter von Cloud-Validierung, seine dritte Testiteration für die Web Application Firewall (WAF 3.0). Diese Version enthält die ersten API-Sicherheitstestfälle ihrer Art. Marktführende Sicherheitslösungen werden von WAF 3.0 auf ihre Fähigkeit geprüft, dem heutigen komplexen Cyber-Bedrohungsszenario standzuhalten.
• Im Mai 2023 stellte Radware eine neue Cloud Web DDoS Protection-Lösung vor. Moderne DDoS-Minderungstechniken werden von einer neuen Generation aggressiverer Layer 7 (L7) HTTPS Flood-Angriffe überholt, die allgemein als Web DDoS Tsunami-Angriffe bezeichnet werden. Dieser Ansatz soll diese Lücke schließen. Er minimiert Fehlalarme und bietet einen breiten Angriffsschutz gegen Zero-Day-Angriffe und die meisten fortgeschrittenen Angriffe.
• Im April 2023 hat Edgio ein fortschrittliches Bot-Management entwickelt, das die Beobachtung guter Bots ermöglicht und gleichzeitig eine Vielzahl neuer bösartiger Bots proaktiv eindämmt. Advanced Bot Manager verwendet maschinelles Lernen, um Bots anhand von Signaturen und Verhaltensfingerabdrücken zu identifizieren, und nutzt dabei die riesigen Datenmengen, die kontinuierlich aus der großen globalen Bereitstellung der Plattform gesammelt werden. Um den gesamten Datenverkehr im gesamten globalen Netzwerk von Edgio in Echtzeit auf Bots zu analysieren, läuft die Lösung nativ auf jedem Server.
• Im Oktober 2022 brachte Akamai eine Distributed-Denial-of-Service (DDoS)-Schutzlösung namens Prolexic auf den Markt, eine neue Plattform der sechsten Generation. Es handelt sich um eine vollständig softwaredefinierte, leistungsstarke und skalierbare Architektur, die die Fähigkeit verbessert, den sich ändernden Verbraucherbedürfnissen und künftigen Cybersicherheitsanforderungen gerecht zu werden

Abschluss

Da Unternehmen in die Cloud migrieren und damit riesige Datensätze, Dienste und Waren digitalisieren können, wird die API-Sicherheit im Jahr 2023 und darüber hinaus immer wichtiger. Mit dieser Veränderung vergrößert sich die Angriffsfläche anfälliger APIs, was es erforderlich macht, API-Dienste abzusichern, um Geschäftsabläufe, Kunden und Daten zu schützen. Innerhalb der Cybersicherheits-Community und für viele Organisationen rückt die API-Sicherheit auf die Prioritätenliste. API-Sicherheit ist mittlerweile ein sehr wichtiges Thema, da offengelegte oder falsch konfigurierte APIs Bedrohungsakteuren eine hervorragende Chance bieten, in ein Netzwerk einzudringen.