Sécurisation des API : une mission impossible ?
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
La sécurité des API est complexe, mais avec une formation adéquate, une planification minutieuse et une attention particulière aux meilleures pratiques, même les vulnérabilités les plus insidieuses peuvent être atténuées.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Cyberangriffe nehmen zweifellos zu. Laut dem Verizon Data Breach Investigations Report 2021 ist die Bedrohungslandschaft heute gefährlicher als je zuvor. Unternehmen aller Größen sind mit einem höheren Angriffsvolumen und einem höheren Grad an Raffinesse seitens der Bedrohungsakteure konfrontiert, die sie ins Visier nehmen. Und auch die Erfolgsraten der Angreifer steigen sprunghaft an.
Die Analyse der jüngsten Angriffe hilft dabei, einige der häufigsten Sicherheitslücken und Techniken aufzudecken, die von Hackern bei diesem beispiellosen Angriff gegen Cyberabwehr eingesetzt wurden. Einige der beliebtesten Angriffe, wie zum Beispiel diejenigen, die es ins Open Web Application Security Project (OWASP) geschafft haben Die 10 wichtigsten Sicherheitsrisiken und Sicherheitslücken für 2021, beinhaltete den Diebstahl oder die anderweitige Kompromittierung von Zugangsdaten. Und laut Sicherheitsforschung Die überwältigende Mehrheit, fast 75%, wurde von Akamai durchgeführt und zielte direkt auf die Anmeldeinformationen der APIs ab.
Der Aufstieg und der mögliche Ruin von APIs
Kein Wunder, dass Anwendungsprogrammierschnittstellen, meist nur APIs genannt, in den Netzwerken fast aller Unternehmen auf dem Vormarsch sind. Sie sind ein wichtiger Bestandteil der meisten Cloud-basierten Dienste, die in den meisten Unternehmen, Organisationen und Regierungsbehörden zunehmend die Funktionen der lokalen Ressourcen übernehmen. Ohne die Cloud können Sie heutzutage fast keine Geschäfte oder Aufgaben mehr ausführen, insbesondere solche, die öffentlich zugänglich sind. Und das bedeutet, dass APIs sicherlich der Klebstoff sein werden, der eine ganze Reihe von Diensten in jedem Netzwerk zusammenhält.
Das Erstaunliche an APIs ist, dass sie in Bezug auf die Zuweisung von Netzwerkressourcen meist klein und unauffällig sind. Und sie sind völlig flexibel, sodass sie mit fast allen Aufgaben beauftragt werden können. Im Kern sind APIs einzelne Softwareteile, die auf die Steuerung oder Verwaltung eines bestimmten Programms zugeschnitten sind. Sie können verwendet werden, um ganz bestimmte Funktionen auszuführen, z. B. den Zugriff auf Daten von einem Host-Betriebssystem, einer Anwendung oder einem Dienst aus.
Leider sind es genau diese Flexibilität und die Tatsache, dass sie oft klein sind und von Sicherheitsteams übersehen werden, die APIs zu attraktiven Zielen machen. Die meisten APIs wurden von Entwicklern so konzipiert, dass sie absolut flexibel sind, sodass sie beispielsweise auch dann weiter funktionieren können, wenn das von ihnen verwaltete Kernprogramm geändert oder geändert wird. Und es gibt nur wenige Standards. Fast wie Schneeflocken sind viele APIs insofern einzigartig, als sie so konzipiert sind, dass sie eine bestimmte Funktion mit einem einzigen Programm in einem bestimmten Netzwerk erfüllen. Wenn sie von Entwicklern programmiert werden, die nicht sehr sicherheitsbewusst sind oder sich nicht speziell auf Sicherheit konzentrieren, dann können und werden sie wahrscheinlich eine beliebige Anzahl von Schwachstellen die Angreifer finden und ausnutzen können.
Leider läuft das Problem schnell aus dem Ruder. Laut Gartner wird bis 2022 Sicherheitslücken im Zusammenhang mit APIs wird der häufigste Angriffsvektor in allen Cybersicherheitskategorien werden.
Der Hauptgrund, warum Angreifer APIs kompromittieren wollen, ist nicht, dass sie irgendeine spezifische Funktion übernehmen können, die die API ausführt, sondern darin, die damit verbundenen Anmeldeinformationen zu stehlen. Eines der größten Probleme mit APIs ist nicht nur reich an Sicherheitslücken, sondern auch, dass sie häufig viel zu viel erlaubt in Bezug auf ihre Kernfunktionalität. Der Einfachheit halber haben die meisten APIs nahezu Administratorzugriff auf ein Netzwerk. Wenn ein Angreifer die Kontrolle über ein Netzwerk erlangt, kann er dessen Berechtigungen häufig nutzen, um tiefere und substanziellere Eingriffe in ein Netzwerk zu starten. Und da die API die Erlaubnis hat, alle Aufgaben auszuführen, zu denen der Angreifer ihn umleitet, können seine Aktionen häufig die traditionelle Cybersicherheitsüberwachung umgehen, da die API dank ihres VIP-Backstage-Passes für alle Bereiche keine Regeln verstößt.
Wenn Unternehmen nicht vorsichtig sind, kann die Zunahme von APIs in ihrem Netzwerk und ihren Clouds auch große Probleme bereiten, wenn sie von Angreifern ins Visier genommen werden.
Verteidigung der APIs
So gefährlich die Situation mit APIs auch wird, sie ist alles andere als hoffnungslos. Durch Bewegungen entsteht ein großer Kraftaufwand wie DevSecOps um Entwicklern dabei zu helfen, das Sicherheitsbewusstsein zu stärken und Sicherheit und bewährte Verfahren in alle Aspekte der Softwareentwicklung einzubeziehen, von der Entwicklung über das Testen bis hin zur Bereitstellung. Die Einbeziehung der API-Sicherheit in diese Schulung wird für jedes Unternehmen, das sich bis 2022 und darüber hinaus dem Trend der API-Ausnutzung widersetzen will, von entscheidender Bedeutung sein.
Allerdings gibt es einige wirklich gute Best Practices, die derzeit in Bezug auf die API-Sicherheit implementiert werden können.
Die erste Sache ist, strenge Identitätskontrollen für alle APIs einzuführen. Sie sollten sie bei der Vergabe von Berechtigungen fast als menschliche Benutzer betrachten. Nur weil eine API nur für eine bestimmte Funktion konzipiert ist, müssen Sie darüber nachdenken, was passieren könnte, wenn ein Angreifer sie kompromittieren kann. Erwägen Sie die Verwendung einer rollenbasierten Zugriffskontrolle. Im Idealfall sollten Sie letztendlich die Zero-Trust-Prinzipien auf Ihre APIs und Benutzer anwenden, aber das ist oft ein langer Weg. Ein gutes Identitätsmanagement ist ein guter Anfang. Achten Sie nur darauf, APIs als Teil dieses Programms einzubeziehen.
Sie sollten auch die verschiedenen Aufrufe, die von Ihren APIs getätigt werden, so genau wie möglich kontrollieren. Wenn Sie diese Aufrufe auf sehr kontextzentrierte Anfragen beschränken, wird es für einen Angreifer viel schwieriger sein, sie für schändliche Zwecke zu ändern. Sie können Ihre APIs sogar überlagern, wobei eine anfängliche API einen stark kontextbezogenen Aufruf an eine andere API tätigt, die genau weiß, wonach sie suchen und was zu ignorieren ist. Das kann eine effektive Methode sein, um die Funktionen einzuschränken, die einem Bedrohungsakteur zur Verfügung stehen, selbst wenn er in der Lage ist, eine API innerhalb dieser Kette auszunutzen und zu kompromittieren.
Die Bedrohungen gegen APIs können sicherlich überwältigend erscheinen. Aber durch die Implementierung von Best Practices und die Unterstützung und Belohnung von Entwicklern, die zu Sicherheitsexperten werden, kann die Situation viel weniger hoffnungslos erscheinen. Mit guter Schulung und Praxis können Sie ein robustes Sicherheitsprogramm aufstellen, das Angreifern wenig Spielraum lässt, selbst wenn sie eines Ihrer winzigen, aber wichtigen API-Arbeitspferde irgendwie gefährden sollten.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
