OWASP Top 10 der API-Sicherheit: Airlock bringt Whitepaper zur Liste

Die Liste OWASP Top 10 ist jedem ein Begriff, der irgendwie mit IT-Sicherheit zu tun hat. Ein Kommentar von Martin Burkhart, Head of Product Management Airlock, über die Wichtigkeit einer solchen Auflistung und dieses Projekts. [...]

Martin Burkhart, Head of Product Management Airlock
Martin Burkhart, Head of Product Management Airlock (c) Airlock

Die Liste OWASP Top 10 führt die bekanntesten und gefährlichsten Bedrohungen für Webapplikationen auf und gibt Ratschläge, wie man sich am besten gegen diese Gefahren wappnet. Sie enthält umfangreiche Informationen über bekannte Angriffswege sowie Gegenmassnahmen, und fusst auf den Daten hunderter Unternehmen weltweit.

Nun findet aber in der Entwicklung von Webapplikationen ein Paradigmenwechsel statt. Weg von monolithischen Anwendungen auf Servern, hin zu modularen Applikationen auf Basis von APIs (Application Programming Interfaces). Diese Schnittstellen aber exponieren Daten stärker gegen das offene Internet als es bislang je der Fall gewesen ist. Sie müssen also sehr gut geschützt werden, denn Hacker entwickeln bereits spezielle Angriffe.

Um dem entgegen zu wirken, wird das OWASP-Projekt um eine neue Liste erweitert: Die OWASP Top 10 für APISecurity. Sie wird im Zeichen ihrer grossen Schwester stehen und soll diese um Bedrohungen ergänzen, die gezielt gegen APIs gerichtet sind. Im Laufe des dritten Quartals 2019 nimmt die Entwicklung der Liste nun volle Fahrt auf, damit die Initiative im vierten Quartal, wie geplant, die erste, abgeschlossene Version (V1.0) vorstellen kann. Im Folgenden ein kurzer Auszug der neuen Rangliste, um die Vielfältigkeit der Angriffsmuster hervorzuheben:

  • Broken Authentication: Manchmal läuft schon bei der Implementierung der Authentifizierung etwas falsch. Angreifer könnten dann Anmelde-Tokens abfangen, um Konten autorisierter Nutzer zu stehlen. Gerade die Angriffe gegen die Authentifizierung erweisen sich als die beliebtesten der auf APIs spezialisierten Einfallstore.
  • Level Access Control: API-Plattformen helfen Geschäftsbereichen, sich dem Internet einfacher zu öffnen. Zugriffe auf APIs müssen deshalb zuverlässig authentisiert und autorisiert sein. Eine gute Verwaltung der Zugriffsrechte auf Benutzer- und Objektebene ist daher unerlässlich.
  • Misconfiguration of Security: Die altbekannte Fehlkonfiguration der IT-Infrastruktur oder Richtlinien öffnet vielfältig Tür und Tor für Angreifer. Ein Auslöser können schlecht aufeinander abgestimmte Sicherheitsmodule von verschiedenen Herstellern sein.
  • Injection: Simpel, aber effektiv, sind sogenannte Injection-Angriffe, z.B. gegen SQL-Datenbanken oder über die klassische Eingabeaufforderung. Präparierte Befehlszeilen oder Daten werden einem normalen Befehl angehängt, an den Zielserver geschickt und unbemerkt ausgeführt. Da API-Plattformen offen im Internet zugänglich sind, müssen sie gegen diese Angriffsmuster dringend geschützt werden.
  • Insufficient Logging und Monitoring: Unzureichende Überprüfung der laufenden Verbindungen ermöglicht es Angreifern, sich unbemerkt zu bewegen oder heimlich an einem Ort zu warten, um erst zu einem gewissen Zeitpunkt zuzuschlagen. In Hinblick auf offenliegende APIs sollte dies zur Vorsicht mahnen, ausreichendes Logging und Monitoring zu implementieren.

APISicherheit: Kein isolierter Zweig der IT-Infrastruktur

Die Vielzahl der Angriffsmethoden und die Geschwindigkeit, mit der sich Internet-Kriminelle an die Eigenheiten der APIs anpassen, macht schnelles Entgegenwirken erforderlich. Airlock begrüßt daher ausdrücklich die Einführung einer OWASP Top 10 APISecurity-Liste und wird selbst ein Whitepaper herausgeben, dass sich umfangreich mit den Ergebnissen des Projektes auseinandersetzt.

Bereits jetzt aber zeigen die Beispiele deutlich, dass APISicherheit nicht alleinstehend gedacht werden darf. APIs sind kein isolierter Zweig der IT-Sicherheit, getrennt von allen anderen Bereichen. Neben einem starken API-Gateway spielt daher eine Web Application Firewall (WAF) ebenso eine wichtige Rolle, wie ein gutes Customer Identity and Access Management (cIAM). Alle drei Module sollten optimal aufeinander abgestimmt werden und aus einer Hand kommen, wie das beim Airlock Secure Access Hub der Fall ist. Hier werden die Komponenten von einer Sicherheitsplattform aus zentral gesteuert und verwaltet, um Komplikationen und Inkompatibilitäten untereinander zu vermeiden.

*Martin Burkhart ist Head of Product Management bei Airlock.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*