Der Boom bei mobilen Apps, Cloud-Diensten und Webanwendungen hat zu einem besorgniserregenden Trend geführt: Angreifer zielen zunehmend auf die ihnen zugrunde liegenden APIs ab. Unternehmen benötigen Tools, um diese datenreichen Konnektoren zu sichern, und die Ankündigung von CrowdStrike, in Salt Security zu investieren, unterstreicht die entscheidende Rolle, die API-Sicherheit bei der Sicherheit von Webanwendungen spielt.
APIs – Anwendungsprogrammierschnittstellen – sind in modernen Unternehmen allgegenwärtig. Folgendes berücksichtigen:
- Eine Webanwendung, die eine Karte und Standortdaten anzeigt, basiert auf der Google Maps API.
- Eine E-Commerce-Anwendung, die mehrere Zahlungsoptionen anbietet, beispielsweise die Funktion „Mit PayPal bezahlen“, verwendet eine API.
- Einzelhändler nutzen APIs, um mit Kurieren und Zustellunternehmen zusammenzuarbeiten und sicherzustellen, dass Pakete korrekt abgeholt und zugestellt werden.
- Unternehmen können Software über API versenden. Das ist es, was Tesla tut.
„APIs verbinden die kritischen Daten und Dienste, die die digitale Innovation von heute vorantreiben“, sagte Roey Eliyahu, CEO und Mitbegründer von Salt Security, in einer Erklärung.
Entwickler verlassen sich auf APIs, um ihre Anwendungen mit mehreren Datenquellen und Diensten zu verbinden und so neue Funktionen und Produkte zu entwickeln, ohne bei Null anfangen zu müssen. Beispielsweise verfügen nicht viele Organisationen über die Ressourcen oder Daten, um detaillierte Karten zu verwalten. Dies ist jedoch auch nicht erforderlich, da Google Maps die Informationen über eine API bereitstellt. Allerdings ist die Tatsache, dass APIs Zugriff darauf haben Sensible Daten und Systeme machen sie angreifbar. Wenn die API auf irgendeine Weise missbraucht wird, kann dies die zugrunde liegenden Daten offenlegen und zu einer Datenschutzverletzung führen.
A Fehler in der Peloton-API ermöglichte es jedem, die privaten Kontodaten der Benutzer direkt von den Servern von Peloton abzurufen, selbst wenn das Profil eines Benutzers auf „privat“ eingestellt war. Es gab eine ähnliche Situation bei einer Website für Finanzkredite, wo a undichte Experian-API erlaubte es jedem, mit nur einem Namen und einer Postanschrift nach der Kreditwürdigkeit einer anderen Person zu suchen.
„Unternehmen produzieren eine riesige Anzahl von APIs in einem Tempo, das die Reife der Netzwerk- und Anwendungssicherheitspraktiken bei weitem übertrifft“, schrieben die Gartner-Analysten Jeremy D’Hoinne und Mark O’Neill in einem aktueller „Gartner Predicts“-Bericht zur API-Sicherheit. „Um einen ausreichenden Einblick in alle APIs zu erhalten, die das Unternehmen produziert, sind sowohl eine solide Bestandsaufnahme als auch eine Erkennung in Echtzeit erforderlich.“
Aus finanzieller Sicht ist die Investition von CrowdStrike sinnvoll. Demnach soll der API-Sicherheitsmarkt zwischen 26.3 und 2022 um 2032 % wachsen Forschung von Future Market Insights früher in diesem Monat. Gartner schätzt, dass API-Angriffe bald zum häufigsten Angriffsvektor für Webanwendungen werden.
Zusätzlich zu der Investition plant CrowdStrike nach eigenen Angaben, mit Salt Security bei Sicherheitstests zusammenzuarbeiten, um APIs und API-Erkennung sowie den Laufzeitschutz für Anwendungen zu stärken.
