Jedes dritte Unternehmen wird über APIs attackiert
ID: 1724777
Die weite Verbreitung von mobilen und IoT-Geräten und die zunehmende Nutzung von Cloud-Systemen führen zu einem grundlegenden Wandel in der modernen Anwendungsarchitektur.
Dabei nutzen Angreifer unterschiedliche Schwachstellen in der Implementierung von APIs aus. So überprüfen viele APIs nur den Authentifizierungsstatus, aber nicht, ob die Anforderung von einem echten Benutzer kommt. Angreifer nutzen solche Fehler auf verschiedene Weise (einschließlich Session Hijacking und Account Aggregation), um echte API-Aufrufe zu imitieren. Zudem werden immer häufiger mobile Anwendungen zurückentwickelt (Reverse Engineering), um herauszufinden, wie diese das API aufrufen. Wenn API-Schlüssel in die App eingebettet sind, kann dies zu einem API-Bruch führen. Die Benutzerauthentifizierung sollte daher laut Radware nicht nur auf API-Schlüssel vertrauen.
Vielen APIs fehlt es zudem an einer robusten Verschlüsselung zwischen API-Client und API-Server. Angreifer nutzen solche Schwachstellen durch Man-in-the-Middle-Angriffe aus. Sie zielen dabei auch auf unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und API-Server, um sensible Informationen zu stehlen oder Transaktionsdaten zu ändern. Darüber hinaus hat die allgegenwärtige Nutzung von mobilen Geräten, Cloud-Systemen und Microservices die API-Sicherheit weiter erschwert, da nun mehrere Gateways beteiligt sind, um die Interoperabilität zwischen verschiedenen Webanwendungen zu erleichtern. Die Verschlüsselung von Daten über all diese Kanäle hinweg ist daher von größter Bedeutung.
Ein weiteres Problem mit APIs ist die Tatsache, dass sie anfällig für Missbrauch der Geschäftsprozesse sind. Angreifer führen wiederholte und umfangreiche API-Aufrufe auf einem Anwendungsserver durch oder verzögern POST-Anfragen, um so einen Denial-of-Service-Angriff zu realisieren. Ein DDoS-Angriff auf ein API kann zu massiven Störungen einer Frontend-Webanwendung führen.
Schließlich leiden APIs auch unter mangelnder Endpunkt-Sicherheit. Die meisten IoT-Geräte und Micro-Service-Tools sind so programmiert, dass sie mit ihrem Server über API-Kanäle kommunizieren. Diese Geräte authentifizieren sich über Client-Zertifikate auf API-Servern. Hacker versuchen häufig, die Kontrolle über ein API vom IoT-Endpunkt aus zu erlangen, und wenn sie erfolgreich sind, können sie die Reihenfolge der APIs leicht ändern, was zu einem Datenverlust führen kann.
"APIs sind heute das Rückgrat moderner Service-Architekturen, können Hackern aber auch einfache Zugangsmöglichkeiten zu kritischen Anwendungen und Daten eröffnen", kommentiert Michael Tullius, Regional Director DACH bei Radware. "Eine Bot-Management-Lösung, die APIs vor automatisierten Angriffen schützt und sicherstellt, dass nur echte Benutzer auf APIs zugreifen können, kann die meisten derartigen Angriffe erkennen und abwehren."
Weitere Schritte gegen Angriffe auf APIs sind laut Radware:
- Überwachung und Verwaltung von API-Aufrufen aus automatisierten Skripten (Bots)
- Einsatz von Multifaktor Authentifizierung
- Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots
- Zuverlässige Verschlüsselung
- Implementierung einer Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
- Zuverlässige Endgeräte-Sicherheit
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Sendlinger Str. 24, 80331 München
Datum: 28.05.2019 - 18:40 Uhr
Sprache: Deutsch
News-ID 1724777
Anzahl Zeichen: 4090
Kontakt-Informationen:
Ansprechpartner: Achim Heinze
Stadt:
München
Telefon: +49 89 800 77-0
Kategorie:
IT & Hardware & Software & TK
Meldungsart:
Anmerkungen:
Diese Pressemitteilung wurde bisher 469 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Jedes dritte Unternehmen wird über APIs attackiert"
steht unter der journalistisch-redaktionellen Verantwortung von
Radware GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Erfolgreiche Cyberangriffe auf solche Anwendungen ermöglichen laut Radware vielfältige Aktionen von Betrug bis Sabotage. Mit einer erwarteten Marktkapitalisierung von 457 Milliarden Dollar im Jahr 2023 wird sich der Markt für Elektrofahrzeuge bis 2027 mit einem erwarteten Absatz von 16 Million
Radware: Killnet ist nichts für Gelegenheits-Hacker ...
Diese weitreichende Entscheidung wurde laut KillMilk getroffen, da rund 50 Splittergruppen innerhalb von Killnet, die aus über 1.250 Personen bestehen, von den Hauptzielen des Hacktivismus abwichen. "Killnet hat jedoch nicht aufgehört zu existieren", so Pascal Geenens, Director, Threa
Radware bekämpft Tsunami-DDoS-Attacken ...
Die hochmoderne Lösung wurde entwickelt, um die wachsende Lücke zwischen Standard-DDoS-Abwehr und einer neuen Generation aggressiverer HTTPS-Flood-Angriffe auf Layer 7 (L7) - auch bekannt als Web-DDoS-Tsunami-Angriffe - zu schließen. Die Lösung von Radware ist unübertroffen in ihrer Fähigkeit,
Weitere Mitteilungen von Radware GmbH
Von Kunden bescheinigt: SAP Modul Materialwirtschaft ...
Wil im Mai 2019 - Ohne Bremsspuren setzt die oneresource ag ihren Erfolgskurs fort und bringt mit SAP-Lösungen ein aktuelles Angebot auf den Markt. Zielsetzung ist es, mit SAP-Lösungen die Kunden im Tagesgeschäft zu entlasten. SAP ist ein komplexes ERP System, welches diverse Tools bietet, die in
Subsembly FinTS Client- und Server-Produkte berücksichtigen die neuen PSD2 SCA Anforderungen ...
München, 27.05.2019 Subsembly - PSD2 SCA Anforderungen stehen ab sofort in FinTS Client- und Server-Produkten zur Verfügung Bereits seit mehr als 20 Jahren ermöglichen die Standards FinTS / HBCI die einheitliche Abwicklung von Bankgeschäften bei unterschiedlichen Kreditinstituten. Hierauf
Geo-ETL trifft Business-Intelligence-Community auf der TDWI München 2019 ...
Vom 24. bis 26. Juni 2019 findet die TDWI München 2019 statt. Die Disy Informationssysteme GmbH ist Silbersponsor der Konferenz und wird erstmalig als Aussteller auf dem Talend-Partnerstand und mit einem Vortrag beim Special Day Talend teilnehmen. Disy stellt hier der Business-Intelligence-Communit
VENTURI KOOPERIERT MIT ACRONIS FÜR UMFASSENDE CYBER PROTECTION ...
VENTURI KOOPERIERT MIT ACRONIS FÜR UMFASSENDE CYBER PROTECTION Das Monegassisches Formel E Team und weltweiter Vorreiter im Bereich Elektromobilität unterzeichnen den Vertrag über eine mehrjährige Partnerschaft mit dem weltweit führenden Anbieter im Bereich Data Protection, Anwendungs- und Sys




