Trotz des dramatischen Anstiegs der Angriffe und Vorfälle sind diese Unternehmen, die allesamt Produktions-APIs betreiben, nach wie vor nicht auf API-Angriffe vorbereitet: 34 % der Befragten verfügen über keinerlei API-Sicherheitsstrategie. (API - Application Programming Interface; Programmierschnittstelle) Dieser Mangel an Schutz stellt für Unternehmen ein erhebliches Geschäftsrisiko dar – die Folgen sind verzögerte Innovationen, weniger Vertrauen durch Kunden und gedämpfte Modernisierungsbemühungen.
Der State of API Security Report basiert auf einer Kombination aus Umfrageergebnissen und empirischen Daten aus der Salt SaaS-Cloud-Plattform. Die Anzahl der Angriffsversuche auf Salt-Kunden, die durch die Salt-Plattform abgewehrt wurden, nahm enorm zu: Der Traffic durch API-Angriffe stieg um 681 %, während der allgemeine API-Traffic um 321 % zunahm. Verständlicherweise gaben 62 % der Umfrageteilnehmer zu, dass sich die Einführung einer neuen Applikation aufgrund von API-Sicherheitsbedenken verzögert habe.
"Um heutzutage erfolgreich zu sein, muss jedes Unternehmen ein Softwareunternehmen sein, und APIs sind das Herzstück der Anwendungen. Digitale Unternehmen haben sich zu den führenden Unternehmen unserer modernen Wirtschaft entwickelt, und gleichzeitig sind sie zu den führenden Zielen für bösartige Akteure geworden", sagte Roey Eliyahu, Mitbegründer und CEO von Salt Security. "Wir beobachten, dass API-Angriffe von Jahr zu Jahr deutlich zunehmen. Noch besorgniserregender ist, dass die Zunahme der API-Nutzung sowie der Angriffe weiterhin die Reaktionsfähigkeit und die Abwehrmöglichkeiten von Unternehmen übersteigt. Unternehmen müssen die Zeit und den Aufwand investieren, um die Art und Weise API-Angriffe und die kritischen Fähigkeiten zu verstehen, die zum Schutz ihrer wichtigsten Ressourcen erforderlich sind."
Da fast jeder Umfrageteilnehmer (95 %) einen API-Sicherheitsvorfall in seinen Produktions-APIs feststellte, ist es dringend erforderlich, eine robuste API-Sicherheitsstrategie zu entwickeln. Salt-Kunden stellten auch eine zunehmende Häufigkeit von Angriffen fest, wobei 12 % durchschnittlich mehr als 500 Angriffen pro Monat ausgesetzt waren.
"APIs stellen einen attraktiven Angriffsvektor dar, obwohl Unternehmen alles daransetzen, APIs zu validieren, bevor sie sie für die Produktion freigeben", sagt Michael Isbitski, Technical Evangelist bei Salt Security. "Da herkömmliche Sicherheits- und API-Verwaltungsplattformen sich nicht vor ausgefeilten Angriffen schützen können, die auf die einzigartige Business-Logik von APIs abzielen, ist es keine Überraschung, dass Angreifer weiterhin erfolgreich sind und Unternehmen gefährden."
Sicherheitsbedenken stehen mit 40 % an erster Stelle der Herausforderungen hinsichtlich der API-Strategie
Die Umfrageteilnehmer haben eine Vielzahl von Bedenken bezüglich der API-Programme ihrer Unternehmen, wobei 40 % die Sicherheit als ihre größte Sorge anführen. Unzureichende Investitionen in die Pre-Production-Sicherheit stehen mit 22 % an erster Stelle, und weitere 18 % der Befragten sind besorgt, dass das Programm die Laufzeit- oder Produktionssicherheit nicht angemessen berücksichtigt. Unzureichende Investitionen in die Ausarbeitung von Anforderungen und Dokumentation sind für 19 % der Befragten die größten Bedenken.
Die meisten Unternehmen sind nicht auf einen API-Angriff vorbereitet
Die vielen Sicherheitsvorfälle und die Aufforderungen von Sicherheitsexperten, API-Sicherheitsmaßnahmen zu implementieren, haben nicht ausgereicht, um die Mehrheit der Unternehmen dazu zu bewegen, effektive API-Sicherheitsstrategien einzuführen. Von den Umfrageteilnehmern haben 34 % keine Strategie, und etwas mehr als ein Viertel (27 %) hat nur eine Basisstrategie. Nur 11 % verfügen über eine fortgeschrittene Strategie, die spezielle API-Tests und -Schutz beinhaltet.
Die Ergebnisse stützen auch die Annahme, dass Budget- und Qualifikationsdefizite eine Rolle bei dieser mangelnden Bereitschaft spielen. Fehlende Fachkenntnisse oder Ressourcen (35 %) und Budgetbeschränkungen (20 %) sind die größten Hindernisse für die Umsetzung einer optimalen API-Sicherheitsstrategie.
Ein übermäßiges Vertrauen in "Shift Left"-Praktiken lässt die Unternehmen weiterhin scheitern
Die Runtime-Protection ist für einen wirksamen API-Schutz von grundlegender Bedeutung. 95 % der Befragten haben innerhalb des letzten Jahres einen API-Sicherheitsvorfall erlebt, deshalb erweisen sich "Shift Left"-Praktiken für die API-Sicherheit als unzureichend. Dieses Problem wird durch die Tatsache verstärkt, dass IT-Teams nach wie vor geteilter Meinung über die Zuständigkeit für die API-Sicherheit sind. Mehr als die Hälfte der Umfrageteilnehmer geben an, dass die Hauptverantwortung bei den Entwicklern, DevOps oder DevSecOps liegt. Nur 31 % der Befragten weisen die Verantwortung für die API-Sicherheit den AppSec- oder InfoSec-Teams zu.
WAFs und API-Gateways entdecken nicht alle API-Angriffe
Das Vertrauen in traditionelle Sicherheits- und API-Verwaltungstools wie Web Application Firewalls (WAFs) und API-Gateways hat bei vielen Unternehmen ein falsches Sicherheitsgefühl hinterlassen: 95 % der Befragten haben die im letzten Jahr einen API-Sicherheitsvorfall erlebt, dabei haben sich 55 % auf Warnungen von Gateways verlassen und 37 verwendeten WAFs, um Angriffe zu erkennen. Das reine Vertrauen auf die Analyse von Logfiles (45 %) für die API-Sicherheit ist ähnlich ineffizient – bis die Protokolldateien analysiert sind, hatten Angreifer längst Zugang zu wertvollen Daten und Payloads.
API-Angriffe zu stoppen, bleibt die wichtigste Anforderung an eine API-Sicherheitsplattform
Zum dritten Mal in Folge nannten mehr Befragte (42 %) das Stoppen von API-Angriffen als die wichtigste Fähigkeit, die sie von einer API-Sicherheitsplattform erwarten. Das Identifizieren der APIs, die personenbezogene Informationen und sensible Daten preisgeben, folgt an zweiter Stelle (41 %). An dritter Stelle steht die Fähigkeit, APIs im Laufe der Zeit zu stärken (38 %), und an vierter Stelle folgt die Einhaltung von Compliance- oder gesetzlichen Vorgaben (36 %).
API-Sicherheit verbessert die Arbeitsweise von Sicherheitsteams
Obwohl die Unternehmen sehr unterschiedliche Ansichten darüber haben, wer die Verantwortung für die API-Sicherheit tragen sollte, nehmen die Zusammenarbeit und der gemeinsame Input zwischen Sicherheits- und DevOps-Teams zu. Mehr als ein Drittel der Befragten (34 %) gibt an, dass Sicherheitsteams in Bezug auf die API-Sicherheit verstärkt mit DevOps zusammenarbeiten. Weitere 30 % geben an, dass DevOps bei der Gestaltung von API-Richtlinien den Input von Sicherheitsteams suchen. 25 % der Unternehmen binden Security Engineers in DevOps-Teams ein, um die Herausforderung zu meistern. Die Umfrage ergab auch, dass mehr Sicherheitsteams die OWASP API Top 10 Liste der Bedrohungen hervorheben - 61 % in diesem Report, vor sechs Monaten waren es noch 50 %.
Der
State of API Security Report, Q1 2022 wurde zusammengestellt von Salt Labs, der Forschungsabteilung von Salt Security, unter Verwendung von Umfragedaten von mehr als 250 Sicherheits-, Anwendungs- und DevOps-Führungskräften und -Experten sowie anonymisierten und aggregierten empirischen Daten von Salt Security-Kunden, die von der Salt Security API Protection Platform stammen.