Umfrage zur API-Sicherheit zeigt: Mehrheit der Unternehmen verwendet noch keine API-spezifischen Kontrollen

Phishing und fehlende Patches laut Umfrage die größten Bedenken

Akamai Technologies  veröffentlicht die Ergebnisse einer neuen Studie unter Anwendungssicherheitsexperten zu den größten Risiken im Zusammenhang mit Programmierschnittstellen (APIs).

Die SANS-Umfrage 2023 zur API-Sicherheit ergab, dass weniger als 50 Prozent der Befragten über Tools zum Test der API-Sicherheit verfügen. Noch weniger verfügen über API-Erkennungstools (29 Prozent). Darüber hinaus kommt der Bericht zu dem Schluss, dass die Nutzung von API-Sicherheitskontrollen, die in DDoS- und Lastausgleichsservices enthalten sind, „ein nicht ausgelasteter Bereich“ ist. Nur 29 Prozent der Befragten gaben an, diese Funktionen zu nutzen.

Akamai arbeitete für diese Befragung aus dem ersten Quartal 2023 mit dem SANS Institute zusammen, um die Bekanntheit, Bereitschaft und zukünftige Pläne für den Umgang mit API-Sicherheitsrisiken zu ermitteln. Bei den 231 Befragten aus aller Welt handelte es sich überwiegend um Experten für Anwendungssicherheit.

Moderne Anwendungen setzen zunehmend auf APIs, um Geschäftsprozesse zu erfassen und sie in die Kommunikationsprozesse aufzuteilen, die für die effiziente Zusammenarbeit von Geschäftspartnern und Kunden mit einem Unternehmen erforderlich sind. In dem kürzlich veröffentlichten „State of the Internet“-Bericht „Ausnutzung von Sicherheitslücken“ deckte Akamai auf, dass 2022 ein Rekordjahr für Anwendungs- und API-Angriffe war.

Die Umfrageteilnehmer nannten Phishing (38,3 Prozent) und fehlende Patches (24 Prozent) als die beiden wichtigsten API-Sicherheitsbedenken. Dem folgten die Ausnutzung anfälliger Anwendungen/APIs (12 Prozent) und die versehentliche Weitergabe vertraulicher Informationen (9,1 Prozent).

Weitere wichtige Erkenntnisse aus dem Bericht:

• 62 Prozent der Befragten setzen auf Web Application Firewalls als Teil ihrer Strategie zur API-Risikominderung.
• Ein Großteil (57,1 Prozent) der Befragten gab eine API-Bestandsgenauigkeit zwischen 25 und 75 Prozent an.
• Die meisten Befragten nannten die vom OWASP (Open Web Application Security Project) veröffentlichten Top-10-Listen für Anwendungssicherheit und API sowie das MITRE ATT&CK-Framework als Grundlage für die Bestimmung von Anwendungs- und API-Risiken.
• 76 Prozent der Umfrageteilnehmer gaben an, ihr Entwicklungspersonal in Anwendungssicherheit geschult zu haben.

„Diese neue Umfrage bietet der Branche einen Einblick in ein Thema, das 2023 und darüber hinaus eine der wichtigsten Sicherheitsfragen bleiben wird“, so Rupesh Chokshi, Senior Vice President und General Manager, Application Security bei Akamai. „Die Ergebnisse zeigen, dass Unternehmen sich stärker darauf konzentrieren müssen, wo und wie viele APIs ausgeführt werden, da anfällige APIs zum häufigsten Einfallstor für Angriffe werden.“

„Die wichtigste Erkenntnis dieser Umfrage ist, dass API-Sicherheitsprobleme durch Sicherheitskontrollen gelöst werden müssen, etwa strenge Authentifizierung, Bestandsaufnahme, Schwachstellenmanagement und Änderungskontrolle“, erklärt John Pescatore, Director of Emerging Security Trends bei SANS. „Prävention und Erkennung müssen verbessert werden, um API-zentrierten Angriffen begegnen zu können. Auch Infrastrukturservices (wie Content Delivery Networks und Denial-of-Service-Filterung) müssen Teil der Lösung sein.“