In bestimmten F?llen k?nnen wir Einnahmen erzielen, wenn ein Leser einen Kauf t?tigt oder ein Formular auf unseren Seiten oder auf der Website eines Partners ausfüllt. Wir halten uns an eine strenge Werbepolitik und stellen sicher, dass kommerzielle M?glichkeiten niemals unsere redaktionelle Unabh?ngigkeit beeintr?chtigen oder beeinflussen. Die erzielten Einnahmen tragen zur Finanzierung der Mission von Techopedia bei, die Nr. 1 Quelle für Glücksspielwissen zu sein.
Programmierschnittstellen (APIs) sind eine der wichtigsten Technologien, die die Kommunikation zwischen Anwendungen in modernen Cloud-Umgebungen erm?glichen.
Doch w?hrend APIs für den Datenaustausch zwischen Apps unerl?sslich sind, stellen sie auch einen der am st?rksten gef?hrdeten Teile der Angriffsoberfl?che dar.
Nach Angaben von Noname Security hat ein durchschnittliches Unternehmen 15.564 APIs in seinem Netzwerk. Diese Zahl ist so hoch, dass die meisten Organisationen keinen überblick über diese Komponenten haben, was sie für die Ausnutzung durch Cyberkriminelle anf?llig macht.
Dieselbe Studie ergab, dass 54 % der Betriebe veraltete/Zombie-APIs als ihre gr??te Sorge bezeichnen. Diese Bedenken sind auch nicht nur theoretisch: 41 % der Firmen wurden im Jahr 2022 von einem API-Versto? betroffen.
Ein Jahr zuvor ereignete sich eines der bekanntesten Beispiele eines Angriffs im Zusammenhang mit APIs. Hacker nutzten eine Schwachstelle in der Twitter-API aus, um Zugriff auf die Daten von über 5 Millionen Nutzern zu erhalten.
Doch was macht Zombie-APIs zu einer so ernsten Bedrohung?
Wie Zombie-APIs Unternehmen heimsuchen
Zombie-APIs sind Programmierschnittstellen, die bereits in einer Umgebung implementiert wurden, aber nicht mehr verwendet oder gewartet werden.
Für Bedrohungsakteure k?nnen Zombie-APIs als Hintertür für den Zugriff auf sensible Datenbest?nde dienen.
Grund für die Besorgnis über Zombie-APIs ist u. a. die hohe Anzahl von APIs in modernen Cloud-Umgebungen, die Sicherheitsteams nicht mehr überblicken k?nnen.
In der Praxis bedeutet dies, dass Unternehmen sich über ihre Anf?lligkeit für Cyberangriffe nicht im Klaren sind.
?Aufgrund ihrer Vergessenheit werden Zombie-APIs nicht regelm??ig getestet, gepatcht oder sicherheitsrelevant aktualisiert, was in einer gr??eren Angriffsfl?che resultiert“, so Scott Gerlach, CSO und Mitbegründer von StackHawk, gegenüber Techopedia.
Gerlach betont, dass die zunehmende Migration in die Cloud zu einem Wachstum von APIs geführt hat, die von vielen Unternehmen nicht sicherheitsgeprüft werden, wodurch neue Schwachstellen für Angreifer entstehen, die diese ausnutzen k?nnen.
Dies ist umso problematischer, wenn man bedenkt, dass viele APIs direkten Datenzugriff haben und somit im Falle einer Kompromittierung riesige Datenmengen offenlegen k?nnen.
?Die technischen Schulden, die mit diesen APIs verbunden sind, k?nnen unwissentlich mit anderen Teilen kritischer Systeme verknüpft werden, was weitere Betriebskomplexit?ten und Risiken für die Stabilit?t neuerer Systeme mit sich bringen kann.“
Wenn ein Unternehmen also nicht in Tools zur automatischen Erkennung von APIs investiert, wird es nicht feststellen k?nnen, welche APIs in der Umgebung vorhanden sind, und auch keine Ma?nahmen zu deren Pflege ergreifen.
Umgang mit Zombie-APIs
Eine M?glichkeit für Unternehmen, sich mit Zombie-APIs zu befassen, ist die Durchführung automatischer Scans mit einem API-Schwachstellen-Scanner, der APIs automatisch erkennen und inventarisieren kann.
Die Erstellung eines API-Inventars kann den zust?ndigen Teams einen besseren überblick über ihre Sicherheitslage verschaffen.
Gerlach weist jedoch darauf hin, dass die wichtigste L?sung zur Eind?mmung der Risiken von Zombie-APIs in der Kommunikation liegt.
?Um das Risiko durch Zombie-APIs und andere API-bezogene Bedrohungen zu minimieren, müssen Unternehmen eine offene Kommunikation mit Entwicklern und Sicherheitsteams f?rdern und praktizieren.“
?Beide Seiten der API-Sicherheit müssen sich darüber im Klaren sein, dass sie gemeinsam dafür verantwortlich sind, Software, die nicht mehr verwendet wird, zu dokumentieren und au?er Betrieb zu nehmen. Ohne eine angemessene und regelm??ige Kommunikation zwischen Entwicklern und Sicherheitsteams k?nnen Zombie-APIs aktiv und unsichtbar bleiben und so die Infrastruktur von Unternehmen angreifbar machen.“
Dies zeigt, dass sowohl Softwareentwickler als auch Sicherheitsteams eine Rolle bei der Entscheidung spielen, ob eine API für den Betrieb eines Unternehmens notwendig ist oder zur Beseitigung potenzieller Schwachstellen abgeschaltet werden muss.
Weitere Schritte, wie die Verwendung von selbstdokumentierendem Code, der alle APIs erfasst, k?nnen einen Rahmen für das Testen und Beheben von Fehlern und Schwachstellen in der gesamten Umgebung bieten.
Fazit
Zombie-APIs stellen ein erhebliches Risiko dar. Unternehmen, die Zeit und Geld in die Inventarisierung von APIs investieren, k?nnen jedoch die Wahrscheinlichkeit, Opfer einer Datenschutzverletzung zu werden, drastisch verringern.
Durch die Erstellung eines API-Inventars k?nnen Sicherheitsteams und Entwickler überflüssige Komponenten identifizieren und Ma?nahmen zu ihrer Entfernung ergreifen.
