Die OWASP-Top-10-Liste führt die bekanntesten und gefährlichsten Bedrohungen für Webapplikationen auf und gibt Ratschläge, wie man sich am besten gegen diese Gefahren wappnet. Sie enthält umfangreiche Informationen über bekannte Angriffswege sowie Gegenmassnahmen, und fusst auf den Daten hunderter Unternehmen weltweit.
Nun findet aber in der Entwicklung von Webapplikationen ein Paradigmenwechsel statt. Weg von monolithischen Anwendungen auf Servern, hin zu modularen Applikationen auf Basis von APIs (Application-Programming-Interfaces). Diese Schnittstellen aber exponieren Daten stärker gegen das offene Internet als es bislang je der Fall gewesen ist. Sie müssen also sehr gut geschützt werden, denn Hacker entwickeln bereits spezielle Angriffe.
Um dem entgegen zu wirken, wird das OWASP-Projekt um eine neue Liste erweitert: Die OWASP-Top-10 für API-Security. Sie wird im Zeichen ihrer großen Schwester stehen und soll diese um Bedrohungen ergänzen, die gezielt gegen APIs gerichtet sind. Im Laufe des dritten Quartals 2019 nimmt die Entwicklung der Liste nun volle Fahrt auf, damit die Initiative im vierten Quartal, wie geplant, die erste, abgeschlossene Version (V1.0) vorstellen kann. Im Folgenden ein kurzer Auszug der neuen Rangliste, um die Vielfältigkeit der Angriffsmuster hervorzuheben:
- Broken-Authentication: Manchmal läuft schon bei der Implementierung der Authentifizierung etwas falsch. Angreifer könnten dann Anmelde-Tokens abfangen, um Konten autorisierter Nutzer zu stehlen. Gerade die Angriffe gegen die Authentifizierung erweisen sich als die beliebtesten der auf APIs spezialisierten Einfallstore.
- Level-Access-Control: API-Plattformen helfen Geschäftsbereichen, sich dem Internet einfacher zu öffnen. Zugriffe auf APIs müssen deshalb zuverlässig authentisiert und autorisiert sein. Eine gute Verwaltung der Zugriffsrechte auf Benutzer- und Objektebene ist daher unerlässlich.
- Misconfiguration of Security: Die altbekannte Fehlkonfiguration der IT-Infrastruktur oder Richtlinien öffnet vielfältig Tür und Tor für Angreifer. Ein Auslöser können schlecht aufeinander abgestimmte Sicherheitsmodule von verschiedenen Herstellern sein.
- Injection: Simpel, aber effektiv, sind sogenannte Injection-Angriffe, z.B. gegen SQL-Datenbanken oder über die klassische Eingabeaufforderung. Präparierte Befehlszeilen oder Daten werden einem normalen Befehl angehängt, an den Zielserver geschickt und unbemerkt ausgeführt. Da API-Plattformen offen im Internet zugänglich sind, müssen sie gegen diese Angriffsmuster dringend geschützt werden.
- Insufficient-Logging und Monitoring: Unzureichende Überprüfung der laufenden Verbindungen ermöglicht es Angreifern, sich unbemerkt zu bewegen oder heimlich an einem Ort zu warten, um erst zu einem gewissen Zeitpunkt zuzuschlagen. In Hinblick auf offenliegende APIs sollte dies zur Vorsicht mahnen, ausreichendes Logging und Monitoring zu implementieren.
API-Sicherheit: Kein isolierter Zweig der IT-Infrastruktur
Die Vielzahl der Angriffsmethoden und die Geschwindigkeit, mit der sich Internet-Kriminelle an die Eigenheiten der APIs anpassen, macht schnelles Entgegenwirken erforderlich. Airlock begrüsst daher ausdrücklich die Einführung einer OWASP-Top-10-API-Security-Liste und wird selbst ein Whitepaper herausgeben, dass sich umfangreich mit den Ergebnissen des Projektes auseinandersetzt.
Bereits jetzt aber zeigen die Beispiele deutlich, dass API-Sicherheit nicht alleinstehend gedacht werden darf. APIs sind kein isolierter Zweig der IT-Sicherheit, getrennt von allen anderen Bereichen. Neben einem starken API-Gateway spielt daher eine Web-Application-Firewall (WAF) ebenso eine wichtige Rolle, wie ein gutes Customer-Identity and Access-Management (cIAM). Alle drei Module sollten optimal aufeinander abgestimmt werden und aus einer Hand kommen, wie das beim Airlock-Secure-Access-Hub der Fall ist. Hier werden die Komponenten von einer Sicherheitsplattform aus zentral gesteuert und verwaltet, um Komplikationen und Inkompatibilitäten untereinander zu vermeiden.
Von Dr. Martin Burkhart, Head of Product Management Airlock
#Netzpalaver #Airlock