• Die weite Verbreitung von mobilen und IoT-Geräten und die zunehmende Nutzung von Cloud-Systemen führen zu einem grundlegenden Wandel in der modernen Anwendungsarchitektur.

    Application Programming Interfaces (APIs) haben sich als Brücke erwiesen, um die Kommunikation zwischen verschiedenen Anwendungsarchitekturen zu erleichtern. Mit der weit verbreiteten Bereitstellung von APIs nehmen jedoch automatisierte Angriffe auf schlecht geschützte APIs zu. Personenbezogene Daten, Zahlungskartendaten und geschäftskritische Dienste sind durch automatisierte Angriffe auf APIs gefährdet. Schon heute berichtet nach dem jüngsten Global Application & Network Security Report von Radware jedes dritte Unternehmen über Attacken gegen Anwendungen via APIs.

    Dabei nutzen Angreifer unterschiedliche Schwachstellen in der Implementierung von APIs aus. So überprüfen viele APIs nur den Authentifizierungsstatus, aber nicht, ob die Anforderung von einem echten Benutzer kommt. Angreifer nutzen solche Fehler auf verschiedene Weise (einschließlich Session Hijacking und Account Aggregation), um echte API-Aufrufe zu imitieren. Zudem werden immer häufiger mobile Anwendungen zurückentwickelt (Reverse Engineering), um herauszufinden, wie diese das API aufrufen. Wenn API-Schlüssel in die App eingebettet sind, kann dies zu einem API-Bruch führen. Die Benutzerauthentifizierung sollte daher laut Radware nicht nur auf API-Schlüssel vertrauen.

    Vielen APIs fehlt es zudem an einer robusten Verschlüsselung zwischen API-Client und API-Server. Angreifer nutzen solche Schwachstellen durch Man-in-the-Middle-Angriffe aus. Sie zielen dabei auch auf unverschlüsselte oder schlecht geschützte API-Transaktionen zwischen API-Client und API-Server, um sensible Informationen zu stehlen oder Transaktionsdaten zu ändern. Darüber hinaus hat die allgegenwärtige Nutzung von mobilen Geräten, Cloud-Systemen und Microservices die API-Sicherheit weiter erschwert, da nun mehrere Gateways beteiligt sind, um die Interoperabilität zwischen verschiedenen Webanwendungen zu erleichtern. Die Verschlüsselung von Daten über all diese Kanäle hinweg ist daher von größter Bedeutung.

    Ein weiteres Problem mit APIs ist die Tatsache, dass sie anfällig für Missbrauch der Geschäftsprozesse sind. Angreifer führen wiederholte und umfangreiche API-Aufrufe auf einem Anwendungsserver durch oder verzögern POST-Anfragen, um so einen Denial-of-Service-Angriff zu realisieren. Ein DDoS-Angriff auf ein API kann zu massiven Störungen einer Frontend-Webanwendung führen.

    Schließlich leiden APIs auch unter mangelnder Endpunkt-Sicherheit. Die meisten IoT-Geräte und Micro-Service-Tools sind so programmiert, dass sie mit ihrem Server über API-Kanäle kommunizieren. Diese Geräte authentifizieren sich über Client-Zertifikate auf API-Servern. Hacker versuchen häufig, die Kontrolle über ein API vom IoT-Endpunkt aus zu erlangen, und wenn sie erfolgreich sind, können sie die Reihenfolge der APIs leicht ändern, was zu einem Datenverlust führen kann.

    „APIs sind heute das Rückgrat moderner Service-Architekturen, können Hackern aber auch einfache Zugangsmöglichkeiten zu kritischen Anwendungen und Daten eröffnen“, kommentiert Michael Tullius, Regional Director DACH bei Radware. „Eine Bot-Management-Lösung, die APIs vor automatisierten Angriffen schützt und sicherstellt, dass nur echte Benutzer auf APIs zugreifen können, kann die meisten derartigen Angriffe erkennen und abwehren.“

    Weitere Schritte gegen Angriffe auf APIs sind laut Radware:
    – Überwachung und Verwaltung von API-Aufrufen aus automatisierten Skripten (Bots)
    – Einsatz von Multifaktor Authentifizierung
    – Implementierung von Maßnahmen zur Verhinderung des API-Zugriffs durch fortschrittliche menschenähnliche Bots
    – Zuverlässige Verschlüsselung
    – Implementierung einer Token-basierten Ratenbegrenzung mit Funktionen zur Begrenzung des API-Zugriffs basierend auf der Anzahl der IPs, Sessions und Token.
    – Zuverlässige Endgeräte-Sicherheit

    Verantwortlicher für diese Pressemitteilung:

    Radware GmbH
    Herr Michael Tullius
    Reguscenter – Terminalstraße 18
    85356 München
    Deutschland

    fon ..: +49 6103 70657-0
    web ..: http://www.radware.com
    email : info_de@radware.com

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: http://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com


    Disclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.

    Lesen Sie auch diese Infos und News:
    1. TransCanna wird bei einer Telefonkonferenz über Neuigkeiten aus dem Unternehmen informieren
      TransCanna wird bei einer Telefonkonferenz über Neuigkeiten aus dem Unternehmen informieren 15. Februar 2019, Transcanna Holdings Inc. (CSE:TCAN: XETR: TH8) (TransCanna oder das Unternehmen) Das Unternehmen beabsichtigt, am Dienstag, den 19. Februar 2019, nach Börsenschluss um circa 13:15 Uhr Ortszeit...

    2. Jedes Leben macht Sinn – 15 Matrix-Porträts reifer und alter Seelen. Über die Archetypen-Seelenlehre
      In ihrem ersten Buch "Jedes Leben macht Sinn" gibt die Autorin Doris Harmeling Einblicke in die Seelenlehre und ihren Einfluss auf unser Leben. Dabei stellt sie 15 verschiedene Seelenmatrixen vor....

    3. Das jüdische Gebet (Schmone Esre) – Die dritte Bracha über die „Heiligkeit“
      Dr. Dirk U. Rottzoll bringt den Lesern in "Das jüdische Gebet (Schmone Esre)" das zentrale und wichtigste Gebet des Judentums näher....

    4. Uranium Energy Corp reicht Bericht über das dritte Quartal im Geschäftsjahr 2019 ein
      Corpus Christi, Texas, 10. Juni 2019 – Uranium Energy Corp. (NYSE MKT: UEC, das Unternehmen oder UEC – www.commodity-tv.net/c/search_adv/?v=298864) berichtet in Übereinstimmung mit den Vorschriften von NYSE American die Einreichung des Quartalsberichts auf Formblatt 10-Q für die neun Monate mit...

    5. Stuttgarter Call Center wird klimaneutrales Unternehmen
      Das Stuttgarter Call Center P-Call hat sich dazu entschlossen im Klimaschutz mit verschiedensten Aktionen ein Zeichen zu setzten. Seit Mai erreicht es den Status Klimaneutrales Unternehmen....

    Bitte beachten Sie, dass für den Inhalt der hier veröffentlichten Meldung nicht der Betreiber von Infos-und-News.de verantwortlich ist, sondern der Verfasser der jeweiligen Meldung selbst. Weitere Infos zur Haftung, Links und Urheberrecht finden Sie in den AGB.

    Sie wollen diesen Content verlinken? Der Quellcode lautet:

    Jedes dritte Unternehmen wird über APIs attackiert

    veröffentlicht am 28. Mai 2019 in der Rubrik Presse - News
    Content wurde 75 x angesehen • Content-ID 47510