OWASP Top 10 der API-Sicherheit: Airlock bringt Whitepaper zur Liste

Die Liste OWASP Top 10 ist jedem ein Begriff, der irgendwie mit IT-Sicherheit zu tun hat. Ein Kommentar von Martin Burkhart, Head of Product Management Airlock, über die Wichtigkeit einer solchen Auflistung und dieses Projekts. [...]

Martin Burkhart, Head of Product Management Airlock
Martin Burkhart, Head of Product Management Airlock (c) Airlock

Die Liste OWASP Top 10 führt die bekanntesten und gefährlichsten Bedrohungen für Webapplikationen auf und gibt Ratschläge, wie man sich am besten gegen diese Gefahren wappnet. Sie enthält umfangreiche Informationen über bekannte Angriffswege sowie Gegenmassnahmen, und fusst auf den Daten hunderter Unternehmen weltweit.

Nun findet aber in der Entwicklung von Webapplikationen ein Paradigmenwechsel statt. Weg von monolithischen Anwendungen auf Servern, hin zu modularen Applikationen auf Basis von APIs (Application Programming Interfaces). Diese Schnittstellen aber exponieren Daten stärker gegen das offene Internet als es bislang je der Fall gewesen ist. Sie müssen also sehr gut geschützt werden, denn Hacker entwickeln bereits spezielle Angriffe.

Um dem entgegen zu wirken, wird das OWASP-Projekt um eine neue Liste erweitert: Die OWASP Top 10 für API–Security. Sie wird im Zeichen ihrer grossen Schwester stehen und soll diese um Bedrohungen ergänzen, die gezielt gegen APIs gerichtet sind. Im Laufe des dritten Quartals 2019 nimmt die Entwicklung der Liste nun volle Fahrt auf, damit die Initiative im vierten Quartal, wie geplant, die erste, abgeschlossene Version (V1.0) vorstellen kann. Im Folgenden ein kurzer Auszug der neuen Rangliste, um die Vielfältigkeit der Angriffsmuster hervorzuheben:

  • Broken Authentication: Manchmal läuft schon bei der Implementierung der Authentifizierung etwas falsch. Angreifer könnten dann Anmelde-Tokens abfangen, um Konten autorisierter Nutzer zu stehlen. Gerade die Angriffe gegen die Authentifizierung erweisen sich als die beliebtesten der auf APIs spezialisierten Einfallstore.
  • Level Access Control: API-Plattformen helfen Geschäftsbereichen, sich dem Internet einfacher zu öffnen. Zugriffe auf APIs müssen deshalb zuverlässig authentisiert und autorisiert sein. Eine gute Verwaltung der Zugriffsrechte auf Benutzer- und Objektebene ist daher unerlässlich.
  • Misconfiguration of Security: Die altbekannte Fehlkonfiguration der IT-Infrastruktur oder Richtlinien öffnet vielfältig Tür und Tor für Angreifer. Ein Auslöser können schlecht aufeinander abgestimmte Sicherheitsmodule von verschiedenen Herstellern sein.
  • Injection: Simpel, aber effektiv, sind sogenannte Injection-Angriffe, z.B. gegen SQL-Datenbanken oder über die klassische Eingabeaufforderung. Präparierte Befehlszeilen oder Daten werden einem normalen Befehl angehängt, an den Zielserver geschickt und unbemerkt ausgeführt. Da API-Plattformen offen im Internet zugänglich sind, müssen sie gegen diese Angriffsmuster dringend geschützt werden.
  • Insufficient Logging und Monitoring: Unzureichende Überprüfung der laufenden Verbindungen ermöglicht es Angreifern, sich unbemerkt zu bewegen oder heimlich an einem Ort zu warten, um erst zu einem gewissen Zeitpunkt zuzuschlagen. In Hinblick auf offenliegende APIs sollte dies zur Vorsicht mahnen, ausreichendes Logging und Monitoring zu implementieren.

API–Sicherheit: Kein isolierter Zweig der IT-Infrastruktur

Die Vielzahl der Angriffsmethoden und die Geschwindigkeit, mit der sich Internet-Kriminelle an die Eigenheiten der APIs anpassen, macht schnelles Entgegenwirken erforderlich. Airlock begrüßt daher ausdrücklich die Einführung einer OWASP Top 10 API–Security-Liste und wird selbst ein Whitepaper herausgeben, dass sich umfangreich mit den Ergebnissen des Projektes auseinandersetzt.

Bereits jetzt aber zeigen die Beispiele deutlich, dass API–Sicherheit nicht alleinstehend gedacht werden darf. APIs sind kein isolierter Zweig der IT-Sicherheit, getrennt von allen anderen Bereichen. Neben einem starken API-Gateway spielt daher eine Web Application Firewall (WAF) ebenso eine wichtige Rolle, wie ein gutes Customer Identity and Access Management (cIAM). Alle drei Module sollten optimal aufeinander abgestimmt werden und aus einer Hand kommen, wie das beim Airlock Secure Access Hub der Fall ist. Hier werden die Komponenten von einer Sicherheitsplattform aus zentral gesteuert und verwaltet, um Komplikationen und Inkompatibilitäten untereinander zu vermeiden.

*Martin Burkhart ist Head of Product Management bei Airlock.

Werbung


Mehr Artikel

Kommentar

Cloud-Sicherheit: Darf‘s etwas mehr sein?

Die Migration in eine Cloud-Umgebung stellt für 43 Prozent der Security-Verantwortlichen eine der drei größten Hürden für die Sicherheit von Anwendungen dar. Das zeigte der Application Protection Report 2018. Gleichzeitig sagen Anbieter und viele Nutzer, die Cloud sei so sicher, dass bisherige Kontrollmaßnahmen und auch die Verantwortlichen dafür überflüssig werden. Wer hat nun recht? […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .