API-Sicherheit: Die neue Frontlinie in der Anwendungssicherheit

Autor / Redakteur: Arthur Hicken* / Michael Eckstein

Zunehmende Cyber-Angriffe auf Programmierschnittstellen unterstreichen die Dringlichkeit, die Securtiy von APIs sicherzustellen – und Software entsprechend zu validieren.

Firmen zum Thema

Zugang: Unsichere Schnittstellen sind beliebte Einfallstore für Hacker. Wenn eine API nicht gesichert ist, ist auch die Anwendung nicht gesichert.
Zugang: Unsichere Schnittstellen sind beliebte Einfallstore für Hacker. Wenn eine API nicht gesichert ist, ist auch die Anwendung nicht gesichert.
(Bild: gemeinfrei / Pixabay )

In Unternehmensanwendungen sind Programmierschnittstellen (Application Programming Interfaces, APIs) weit verbreitet. Diese Übergabepunkte wurden in jüngster Zeit vermehrt durch Cyber-Angriffe attackiert – etwa, um Kundendaten zu stehlen oder Ransomware-Attacken zu initiieren. Dies zeigt, dass sich Entwickler während des Software-Validierungsprozesses verstärkt auf die API-Sicherheit konzentrieren sollten. Die API-Sicherheit kombiniert alle üblichen Herausforderungen des API-Testens mit den Aufgaben des traditionellen Anwendungssicherheitstestens (AST).

Im Gespräch nimmt Sandy Carielli, Principal Analyst bei Forrester Research, Stellung zu FRagen der Anwendungssicherheit, statischen Anwendungssicherheitstests (SAST) und zur OWASP API Security Top 10.

Bildergalerie

Anwendungssicherheit gewinnt zunehmend an Bedeutung. Wie wichtig ist die API-Sicherheit für die generellen Sicherheitsbemühungen?

API-Sicherheit ist ein wichtiger Bestandteil der generellen Sicherheitsbemühungen. APIs sind heute eine Kernkomponente moderner Anwendungen, und viele Entwicklungsteams bauen ihre Anwendungen so auf, dass sie „API first“ sind. Das bedeutet, wenn die API nicht gesichert ist, ist auch die Anwendung nicht gesichert. Wir haben zahlreiche Fälle von Sicherheitsverletzungen gesehen, die auf schlecht implementierte oder ungeschützte APIs zurückzuführen sind. API-Verletzungen haben Einkäufe von Kunden, Informationen über Benutzerkonten und sogar den COVID-19-Status von Haushalten auf der anderen Seite der Welt offengelegt.

OWASP hat mit seinen kostenlosen Schulungen und der Top-10-Liste eine zentrale Rolle für die Anwendungssicherheit gespielt. Wird die OWASP API Security Top 10 den gleichen Einfluss auf die API-Sicherheit haben?

Dies scheint bereits der Fall zu sein. Die Anwender sehen die OWASP API Security Top 10 als Ausgangspunkt, um zu verstehen, was sie beachten müssen. Ich kann Ihnen gar nicht sagen, mit wie vielen Anbietern ich gesprochen habe, die die OWASP API Security Top 10 als Teil ihrer Unterstützung für die API-Sicherheit der Kunden einbringen. Probleme wie fehlerhafte Authentifizierung, fehlerhafte Autorisierung und übermäßige Datenexposition sind weit verbreitet. Allerdings werden die OWASP Top 10 nicht alle Ihre Sicherheitsprobleme lösen. Sie müssen die API-Sicherheit ganzheitlicher betrachten als nur die OWASP API Security Top 10. Für viele Teams beginnt die API-Sicherheit damit, dass sie wissen, welche APIs in ihrer Umgebung vorhanden sind.

API-Sicherheit testen

Der Entwicklung und dem Test fehlt es in der Regel an Sicherheitswissen. Wie können Sicherheitsteams ihr Wissen wirksam weitergeben, dass es anderen Personen ermöglicht, den AST (Application Security Test)/AppSec-Prozess zu unterstützen?

Sicherheits-Champions für Entwickler sind eine tolle Möglichkeit für Sicherheitsteams, ihr Wissen an die Entwicklungseinrichtung weiterzugeben und ihre Glaubwürdigkeit bei den Entwicklern aufzubauen. Es handelt sich dabei um Mitglieder der Entwicklungsteams, die in den grundlegenden Prinzipien der Anwendungssicherheit geschult sind. In erster Linie sind sie Entwickler, aber sie bringen auch Sicherheitswissen und Überzeugungsarbeit in ihr lokales Team ein. Diese Champions beantworten grundlegende Sicherheitsfragen des Entwicklungsteams, und sie pflegen auch Beziehungen zum Sicherheitsteam, um sich bei komplexeren Problemen an sie zu wenden.

Unternehmen verfügen bereits über eine Fülle an AST-Tools. Erfüllen sie die Anforderungen an die API-Sicherheit, oder brauchen Entwickler etwas anderes?

Viele AST-Tools testen keine APIs, obwohl einige Anbieter nun beginnen, ihre Fähigkeiten auszubauen oder zusätzliche Tools anzubieten, die sich auf APIs konzentrieren. Es macht Sinn, mit dem AST-Anbieter zusammenzuarbeiten, um herauszufinden, inwieweit er das Testen von APIs unterstützt, und sich darauf vorzubereiten, zusätzliche Tools oder Dienste aufzunehmen, um das zu ergänzen, was er nicht anbietet. Bis eine vollständige Suite von Testtools zur Verfügung steht, die APIs analysiert, sollte man in Erwägung ziehen, einige auf APIs fokussierte Penetrationstests in den Mix aufzunehmen.

Wie passt die statische Analyse (SAST) in eine API-Sicherheitsteststrategie?

Wenn statische Analysewerkzeuge dabei helfen können, Schwachstellen in Ihren API-Definitionen zu identifizieren, sind sie ein wertvoller Teil des API-Testprozesses vor der Bereitstellung. Wie bei der allgemeinen Anwendungssicherheit wird kein einziges Tool alle Probleme lösen, aber die statische Analyse ist effektiv, wenn es darum geht, Probleme früh in der Entwicklung zu finden, idealerweise im Kontext der Entwickler, was die Behebung erleichtert. Ein API-fähiges SAST-Tool hilft dabei, API-Sicherheitslücken früh im Lebenszyklus zu erkennen und zu beheben.

* Arthur Hicken ist Evangelist bei Parasoft.

(ID:47479871)