Programmierschnittstellen (APIs) sind eine der wichtigsten Technologien, die die Kommunikation zwischen Anwendungen in modernen Cloud-Umgebungen ermöglichen.
Doch während APIs für den Datenaustausch zwischen Apps unerlässlich sind, stellen sie auch einen der am stärksten gefährdeten Teile der Angriffsoberfläche dar.
Nach Angaben von Noname Security hat ein durchschnittliches Unternehmen 15.564 APIs in seinem Netzwerk. Diese Zahl ist so hoch, dass die meisten Organisationen keinen Überblick über diese Komponenten haben, was sie für die Ausnutzung durch Cyberkriminelle anfällig macht.
Dieselbe Studie ergab, dass 54 % der Betriebe veraltete/Zombie-APIs als ihre größte Sorge bezeichnen. Diese Bedenken sind auch nicht nur theoretisch: 41 % der Firmen wurden im Jahr 2022 von einem API-Verstoß betroffen.
Ein Jahr zuvor ereignete sich eines der bekanntesten Beispiele eines Angriffs im Zusammenhang mit APIs. Hacker nutzten eine Schwachstelle in der Twitter-API aus, um Zugriff auf die Daten von über 5 Millionen Nutzern zu erhalten.
Doch was macht Zombie-APIs zu einer so ernsten Bedrohung?
Wie Zombie-APIs Unternehmen heimsuchen
Zombie-APIs sind Programmierschnittstellen, die bereits in einer Umgebung implementiert wurden, aber nicht mehr verwendet oder gewartet werden.
Für Bedrohungsakteure können Zombie-APIs als Hintertür für den Zugriff auf sensible Datenbestände dienen.
Grund für die Besorgnis über Zombie-APIs ist u. a. die hohe Anzahl von APIs in modernen Cloud-Umgebungen, die Sicherheitsteams nicht mehr überblicken können.
In der Praxis bedeutet dies, dass Unternehmen sich über ihre Anfälligkeit für Cyberangriffe nicht im Klaren sind.
„Aufgrund ihrer Vergessenheit werden Zombie-APIs nicht regelmäßig getestet, gepatcht oder sicherheitsrelevant aktualisiert, was in einer größeren Angriffsfläche resultiert“, so Scott Gerlach, CSO und Mitbegründer von StackHawk, gegenüber Techopedia.
Gerlach betont, dass die zunehmende Migration in die Cloud zu einem Wachstum von APIs geführt hat, die von vielen Unternehmen nicht sicherheitsgeprüft werden, wodurch neue Schwachstellen für Angreifer entstehen, die diese ausnutzen können.
Dies ist umso problematischer, wenn man bedenkt, dass viele APIs direkten Datenzugriff haben und somit im Falle einer Kompromittierung riesige Datenmengen offenlegen können.
„Die technischen Schulden, die mit diesen APIs verbunden sind, können unwissentlich mit anderen Teilen kritischer Systeme verknüpft werden, was weitere Betriebskomplexitäten und Risiken für die Stabilität neuerer Systeme mit sich bringen kann.“
Wenn ein Unternehmen also nicht in Tools zur automatischen Erkennung von APIs investiert, wird es nicht feststellen können, welche APIs in der Umgebung vorhanden sind, und auch keine Maßnahmen zu deren Pflege ergreifen.
Umgang mit Zombie-APIs
Eine Möglichkeit für Unternehmen, sich mit Zombie-APIs zu befassen, ist die Durchführung automatischer Scans mit einem API-Schwachstellen-Scanner, der APIs automatisch erkennen und inventarisieren kann.
Die Erstellung eines API-Inventars kann den zuständigen Teams einen besseren Überblick über ihre Sicherheitslage verschaffen.
Gerlach weist jedoch darauf hin, dass die wichtigste Lösung zur Eindämmung der Risiken von Zombie-APIs in der Kommunikation liegt.
„Um das Risiko durch Zombie-APIs und andere API-bezogene Bedrohungen zu minimieren, müssen Unternehmen eine offene Kommunikation mit Entwicklern und Sicherheitsteams fördern und praktizieren.“
„Beide Seiten der API-Sicherheit müssen sich darüber im Klaren sein, dass sie gemeinsam dafür verantwortlich sind, Software, die nicht mehr verwendet wird, zu dokumentieren und außer Betrieb zu nehmen. Ohne eine angemessene und regelmäßige Kommunikation zwischen Entwicklern und Sicherheitsteams können Zombie-APIs aktiv und unsichtbar bleiben und so die Infrastruktur von Unternehmen angreifbar machen.“
Dies zeigt, dass sowohl Softwareentwickler als auch Sicherheitsteams eine Rolle bei der Entscheidung spielen, ob eine API für den Betrieb eines Unternehmens notwendig ist oder zur Beseitigung potenzieller Schwachstellen abgeschaltet werden muss.
Weitere Schritte, wie die Verwendung von selbstdokumentierendem Code, der alle APIs erfasst, können einen Rahmen für das Testen und Beheben von Fehlern und Schwachstellen in der gesamten Umgebung bieten.
Fazit
Zombie-APIs stellen ein erhebliches Risiko dar. Unternehmen, die Zeit und Geld in die Inventarisierung von APIs investieren, können jedoch die Wahrscheinlichkeit, Opfer einer Datenschutzverletzung zu werden, drastisch verringern.
Durch die Erstellung eines API-Inventars können Sicherheitsteams und Entwickler überflüssige Komponenten identifizieren und Maßnahmen zu ihrer Entfernung ergreifen.