Frage: Wie können Organisationen sicherstellen, dass ihre APIs angesichts zunehmender API-basierter Angriffe resistent gegen Kompromittierungen sind?
Rory Blundell, Gründer und CEO von Gravitee: Unternehmen aller Größen und Branchen verlassen sich routinemäßig auf interne APIs, um ihre Branchenanwendungen zu vereinen, und auf externe APIs, um Daten oder Dienste mit Anbietern, Kunden oder Partnern zu teilen. Da eine einzelne API Zugriff auf mehrere Anwendungen oder Dienste haben kann, ist die Kompromittierung der API eine einfache Möglichkeit, eine breite Palette von Unternehmensressourcen mit minimalem Aufwand zu kompromittieren.
APIs sind zu einem beliebten Angriffsvektor geworden, und die Häufigkeit von API-Angriffen hat erstaunlich zugenommen 681%, nach jüngsten Forschung von Salt Labs. Der erste Schritt zur Sicherung Ihrer APIs besteht darin, Best Practices zu befolgen, z. B. die von OWASP empfiehlt, sich gegen allgemeine API-Sicherheitsrisiken zu schützen.
Grundlegende API-Sicherheitspraktiken reichen jedoch nicht aus, um IT-Ressourcen zu schützen. Unternehmen sollten die folgenden zusätzlichen Schritte unternehmen, um ihre APIs zu schützen.
1. Nehmen Sie die risikobasierte Authentifizierung an
Unternehmen sollten risikobasierte Authentifizierungsrichtlinien einführen, die es ermöglichen, Sicherheitsvorkehrungen in Fällen mit erhöhtem Risiko durchzusetzen. Beispielsweise muss ein API-Client, der seit langem legitime Anfragen nach einem vorhersehbaren Muster ausgibt, möglicherweise nicht für jede Anfrage dieselbe Authentifizierungsebene durchlaufen wie ein neuer Client, der sich noch nie zuvor verbunden hat. Wenn sich jedoch das Zugriffsmuster des langjährigen API-Clients ändert – wenn der Client beispielsweise plötzlich anfängt, Anfragen von einer anderen IP-Adresse zu senden – wäre eine strengere Authentifizierung eine intelligente Möglichkeit, um sicherzustellen, dass die Anfragen nicht von einem kompromittierten Client stammen.
2. Biometrische Authentifizierung hinzufügen
Obwohl Token als grundlegendes Mittel zur Authentifizierung von Clients und Anfragen wichtig bleiben, sind sie kann gestohlen werden. Aus diesem Grund ist die Kopplung der tokenbasierten Authentifizierung mit der biometrischen Authentifizierung eine intelligente Möglichkeit, die API-Sicherheit zu verbessern. Anstatt davon auszugehen, dass jeder, der ein API-Token besitzt, ein gültiger Benutzer ist, sollten Entwickler Anwendungen so gestalten, dass Benutzer sich zumindest in Kontexten mit höherem Risiko auch mit Fingerabdrücken, Gesichtsscans oder einer ähnlichen Methode authentifizieren müssen.
3. Authentifizierung extern erzwingen
Je komplexer Ihre API-Authentifizierungsschemata werden, desto schwieriger ist es, Sicherheitsanforderungen innerhalb Ihrer Anwendung selbst durchzusetzen. Aus diesem Grund sollten Entwickler danach streben, API-Sicherheitsregeln von der Anwendungslogik zu entkoppeln und stattdessen externe Tools wie API-Gateways verwenden, um Sicherheitsanforderungen durchzusetzen. Dieser Ansatz macht API-Sicherheitsrichtlinien skalierbarer und flexibler, da sie einfach innerhalb von API-Gateways implementiert und aktualisiert werden können, anstatt über den Quellcode der Anwendung. Und was am wichtigsten ist, es ermöglicht Ihnen, basierend auf unterschiedlichen Risikoprofilen unterschiedliche Regeln auf verschiedene Benutzer oder Anfragen anzuwenden.
4. API-Sicherheit mit Benutzerfreundlichkeit in Einklang bringen
Es ist wichtig, dass die Sicherheit nicht zum Feind der Benutzerfreundlichkeit wird. Wenn Sie die API-Authentifizierungsmaßnahmen zu aufdringlich oder lästig gestalten, verlassen Ihre Benutzer möglicherweise Ihre APIs, was das Gegenteil von dem ist, was Sie möchten. Vermeiden Sie dies, indem Sie sicherstellen, dass die API-Sicherheitsregeln streng sind, wenn es einen Grund dafür gibt, aber ohne unnötige Anforderungen zu stellen.
Angriffe auf APIs zeigen keine Anzeichen einer Verlangsamung. Beim Entwerfen und Sichern von APIs sollten Entwickler über die OWASP-Empfehlungen hinausgehen, um die Nutzung der API zu erschweren.
