Was ist API-Erkennung?

API-Erkennung erstellt einen Bestand der verwendeten Programmierschnittstellen (APIs), ihrer Funktionen, der Zugriffsberechtigungen und vielem mehr. Sie kann auch dabei helfen, versteckte oder vergessene APIs aufzuspüren – ein wichtiger Faktor für die Minderung von Sicherheitsrisiken.

APIs sind ein wichtiger Bestandteil der modernen Softwareentwicklung und ermöglichen einen wechselseitigen Austausch: Sie ermöglichen es Entwicklern und Anwendungen, Daten anzufordern, Dienste hinzuzufügen und die Funktionen anderer Anwendungen zu nutzen, und geben den Besitzern der Anwendung die Möglichkeit, ihre Produkte zu teilen, zu veröffentlichen und zu vermarkten. Mit dieser wichtigen Funktionalität gehen zusätzliche Komplexität und Schwachstellen einher.

Das API Management ist entscheidend, um diese Sicherheitslücken abzusichern und sicherzustellen, dass ein API-Ökosystem wie vorgesehen funktioniert. Es ist wichtig, genau zu wissen, wie viele APIs es gibt, welcher Art sie sind und wie beliebt sie sind, um die API-Sicherheit, Authentifizierung, Effizienz, den Schutz sensibler Daten und die Gesamtübersicht über die Nutzung einer bestimmten Anwendung zu gewährleisten. Aber wie findet ein Anwendungsbesitzer alle diese Informationen? Hier kommt die API-Erkennung ins Spiel.

APIs oder Anwendungsprogrammierschnittstellen sind Sätze von Regeln und Protokollen, die es Anwendungen und Diensten ermöglichen, miteinander zu kommunizieren. Sie sind im Wesentlichen die Vermittler, die es Anwendung ermöglichen, Daten in Echtzeit aus unterschiedlichsten Quellen abzurufen. APIs stellen unter vielen anderen Anwendungsfallen Wetterdaten in Wetter-Apps, beschleunigte Kaufvorgänge in Shopping-Apps und Karten auf der Website eines Restaurants bereit. Im Unternehmen werden APIs verwendet, um Workflows und Plattformen zu integrieren, Microservices zu verbinden, die gemeinsame Nutzung von Assets zu erleichtern, Anwendungen für Drittanbieter verfügbar zu machen und vieles mehr.

Angesichts der schieren Anzahl von Anwendungen, die moderne Unternehmen verwenden, laut einer Salesforce-Umfrage durchschnittlich über tausend, ist es wichtig, dass Unternehmen über eine starke API-Erkennungspraxis verfügen. API-Erkennung bezieht sich auf den Prozess, sowohl dokumentierte als auch versteckte APIs zu finden, Verzeichnisse zu erstellen und einen Bestand der entdeckten APIs zusammenzustellen. Es gibt viele Gründe, warum die API-Erkennung so wichtig ist, sowohl wegen der Vorteile, die sie bieten kann, als auch aufgrund der möglichen Auswirkungen auf die Anwendungssicherheit, die eine Vernachlässigung dieses Prozesses haben kann. Die API-Erkennung ist ein wichtiger Bestandteil der Erstellung einer gründlichen und vollständigen API-Dokumentation.

Redundanz – die Erstellung mehrerer Instanzen derselben oder ähnlicher Funktionen, die Dokumentation unübersichtlich machen – kann die Entwicklungsprozesse erheblich beeinträchtigen, indem sie die Effizienz und Produktivität verringert. Kurz gesagt: Die Entwicklung einer neuen API, die nicht eigentlich neu ist, kann Zeit und Ressourcen verschwenden. Eine ordnungsgemäße API-Erkennung und API-Dokumentation kann die Wahrscheinlichkeit einer API-Redundanz verringern. Wenn es einfach ist, die Dokumentation für ein Rad zu finden, gibt es keinen Grund, es neu zu erfinden.

Durch den Einsatz von API-Erkennungstools zur Ermittlung von APIs und zur Erstellung einer soliden API-Dokumentation können Entwickler besser verstehen, auf welche vorhandenen Anwendungen und Dienste (sowohl intern als auch extern) sie zugreifen und diese integrieren können. Durch die Nutzung bereits vorhandener Dienste und Funktionen können Entwickler die Produktion beschleunigen, die Anwendungsfunktionen erweitern und die Markteinführungszeit verkürzen.

Die API-Erkennung ermöglicht die Erstellung eines API-Bestands, der Entwicklern dabei hilft, vorhandene Dienste sowohl zu finden als auch zu nutzen. Dies hat den zusätzlichen Vorteil, dass Entwickler durch die Bereitstellung einer Auswahl an Optionen dazu ermutigt werden, die Daten und Dienste einer Anwendung zu integrieren.

API-Erkennung und die konsistente Wartung eines API-Katalogs ermöglichen es Teams, vorhandene APIs schnell und einfach zu finden. Dies kann die Effizienz steigern, unnötige Arbeit reduzieren und sogar den Workflow verbessern, indem Entwickler auf Funktionen aufmerksam gemacht werden, die ihnen möglicherweise noch nicht aufgefallen sind.

Die Pflege eines aktuellen API-Katalogs ist eine hervorragende Möglichkeit, um zu überwachen, wer Zugriff auf sensible Daten wie Benutzerinformationen und API-Schlüssel hat. Durch die Verwendung der API-Erkennung zum Auffinden aller APIs, die auf sensible Daten zugreifen, kann ein Anwendungsinhaber leichter überwachen, wer worauf Zugriff hat, und sicherstellen, dass APIs und Anwendungen alle geltenden Gesetze und Richtlinien einhalten. Dies ist besonders wichtig angesichts der Verbreitung von Schatten-APIs.

API-Erkennung beinhaltet das Aufdecken vieler verschiedener Details über APIs – die Art der APIs, was sie tun, auf welche Daten sie Zugriff haben und vieles mehr –, die Entwicklern helfen, die von einem Unternehmen verwendeten APIs zu identifizieren und besser zu verstehen. API-Erkennung erzeugt Informationen über APIs, einschließlich:

Protokoll, Architektur und unterstützte Datenformate: Der Erkennungsprozess hilft zu dokumentieren, welches Protokoll oder welche Architektur APIs verwenden (z. B.REST, GraphQL, SOAP oder RPC) und welche Datenformate sie akzeptieren (wie JSON, XML und YAML).

API-Endpunkte: Dies ist der Speicherort eines bestimmten Datenspeichers oder Dienstes, der in der Regel als URL dargestellt wird.

Authentifizierung: APIs sind oft so gesichert, dass nur erkannte Clients, Projekte und Benutzer darauf zugreifen können. API-Erkennung hilft bei der Ermittlung von Authentifizierungsspezifikationen.

Methoden und Parameter: Die API-Ermittlung deckt unterstützte Aktionen wie GET, PUT, DELETE und POST sowie die von der API akzeptierten Parameter auf.

Die API-Erkennung kann eine wichtige Rolle bei der Stärkung der API-Sicherheit spielen. Eine ordnungsgemäße API-Dokumentation und API-Verwaltung verschaffen Anwendungseigentümern einen umfassenden Überblick über die API-Nutzung, was das Entdecken von Sicherheitsschwachstellen erleichtern kann. Im Gegenzug kann ein Anwendungsinhaber oder -entwickler etwaige potenzielle Probleme beheben.

Eine der wichtigsten Möglichkeiten, wie die API-Erkennung zur API-Sicherheit beiträgt, ist das Auffinden versteckter APIs.

Der Begriff „versteckt“ ist nicht ganz korrekt, da eine versteckte API nicht unbedingt böswillig ist. Stattdessen bezieht sich „versteckte API“ auf APIs, die nicht dokumentiert und nicht in der API-Dokumentation enthalten sind. Es gibt viele versteckte APIs, die völlig harmlos sind, wie z. B. unendliche Bildlauffunktionen oder viele Autocomplete-Funktionen in Textfeldern von Web-Anwendungen.

Allerdings können selbst harmlose versteckte APIs Sicherheitsteams potenziell Probleme bereiten. Versteckte APIs, die von Sicherheitslösungen ausgeschlossen sind, unterliegen nicht den üblichen Regulierungs- und Sicherheitsmaßnahmen wie einer Firewall eines Anwendungsbetreibers. Es gibt viele verschiedene Arten von versteckten APIs, die von einfach nur vergessenen bis hin zu aktiv schädlichen APIs reichen. Deshalb ist der API-Erkennungsprozess so wichtig.

Obwohl sie nicht unbedingt bösartig sind, werden Schatten-APIs als APIs definiert, die von der Entität, die sie verwendet, weder verwaltet noch gesichert werden. Ohne API-Transparenz liegen diese außerhalb des Sicherheitsbereichs eines Unternehmens und sind anfällig für Angriffe.

Ein Bericht aus dem Jahr 2022 ergab, dass etwa 31 % der böswilligen Transaktionen auf Schatten-APIs abzielten, was sie zu einem beachtlichen Sicherheitsrisiko macht. API-Angriffe, die auf Schatten-APIs abzielen, können sensible Daten wie Benutzerinformationen oder firmeneigenes Wissen gefährden, was Cybersicherheit zu einem wichtigen Grund für den Einsatz guter API-Erkennungstechniken macht. Sicherheitsteams sind auch nicht in der Lage, Sicherheitspatches für APIs bereitzustellen, von denen sie nichts wissen, was bedeutet, dass Schatten-APIs Schwachstellen aufweisen können, die nur cleveren Hackern bekannt sind. Diese können die Angriffsfläche oder Wege vergrößern, die für böswillige Akteure zugänglich sind.

Schatten-APIs entstehen durch alle möglichen Fehler, Irrtümer und Nachlässigkeiten in den Sicherheitsrichtlinien. Manche Entwickler vergessen es einfach oder kümmern sich nicht genug darum, eine ordentliche API-Dokumentation zu verwenden. Manchmal werden ältere APIs aus der Dokumentation entfernt, obwohl sie noch existieren. Unternehmensfusionen sind außerdem dafür berüchtigt, dass sie eine Vielzahl von Schatten-APIs hervorbringen. Manchmal erstellen Entwickler Schatten-APIs zu Testzwecken oder für sehr kleine, maßgeschneiderte Anwendungsfälle und machen sich nicht die Mühe, Sicherheitsteams auf ihre Anwesenheit aufmerksam zu machen.

Eine etwas andere Art von versteckter API ist die Zombie-API, bei der es sich um eine API handelt, die vergessen, aber nicht gelöscht wurde. Zombie-APIs waren möglicherweise früher korrekt gesichert und gepflegt, wurden seitdem jedoch vernachlässigt und sind womöglich selbst dem ursprünglichen Anwendungsbesitzer nicht mehr bekannt. Zombie-APIs werden in der Regel nicht aktualisiert oder gepatcht, stellen jedoch weiterhin eine Art versteckte Tür zu Teilen des Anwendungssystems dar.

Die Terminologie für betrügerische APIs kann von Unternehmen zu Unternehmen variieren, Einige verwenden „Shadow API“ und „Rogue API“ synonym, während andere den Begriff „Rogue API“ für APIs verwenden, die absichtlich bösartig sind.

Erfolgreiche Verfahren zur API-Erkennung sind einheitlich, gut dokumentiert und standardisiert. Die Einhaltung dieser Prinzipien kann Entwicklern – intern wie extern, heute und in Zukunft – helfen, APIs effizient und sicher zu nutzen.

Standardisierung: Die Verwendung von Standardspezifikationen und -protokollen wie OpenAPI Specification (OAS), REST und GraphQL kann die API-Erkennung und API-Kompatibilität verbessern und den Nutzern helfen, ein schnelles Verständnis der APIs zu erlangen.

Dokumentation: APIs mit einer starken, standardisierten Dokumentation sind leichter zu finden, was sich bei Integration, Zusammenarbeit und Verwaltung auszahlen kann. Je besser die Dokumentation, desto mehr APIs können genutzt und verbessert werden.

Konsistenz: Die regelmäßige API-Erkennung ist wichtig, da APIs kontinuierlich hinzugefügt, aktualisiert und eingestellt werden. Dies ist keine einmalige Aufgabe. Automatisierte Systeme können dies erleichtern, aber auch die regelmäßige manuelle Erkennung ist effektiv.

Es gibt viele verschiedene API-Erkennungstools, von manuellen API-Erkennungstools bis hin zu Tools, die auf vollständige Automatisierung setzen. Jedes hat Stärken und Schwächen.

Viele Entwickler haben bereits in irgendeiner Form eine manuelle API-Erkennung durchgeführt. Dies kann das Durchsuchen von Quellcodes oder die Überwachung des Echtzeit-API-Datenverkehrs auf der Suche nach Anomalien umfassen. Diese manuellen Methoden können, wenn ein Sicherheitsteam genau weiß, wonach es sucht, schneller und direkter sein als automatisierte Methoden. Aber im Allgemeinen ist die manuelle API-Erkennung langsamer, weniger effizient, neigt dazu, subtilere versteckte APIs zu übersehen und erfordert möglicherweise mehr fortgeschrittenes Know-how.

Es gibt viele spezialisierte, automatisierte API-Erkennungstools. Ein API Gateway zum Beispiel ist ein zentralisierter „Vermittler“, der API-Aufrufe empfängt und weiterleitet. Gateways helfen bei der Katalogisierung und Überwachung von APIs und übernehmen typischerweise einen Großteil der API-Erkennung als Teil ihrer Aufgabe.

Es gibt andere spezialisierte API-Schutzdienste, die eine automatische API-Erkennung ermöglichen. Bei der Suche nach einem solchen Service ist es üblich, einen Anbieter zu suchen, der einen robusten Sicherheitsstatus, die Einhaltung bekannter Standards (wie z. B. die OpenAPI-Spezifikation, um zu verhindern, den OWASP Top 10 API-Sicherheitsrisiken zum Opfer zu fallen) und eine einfache Integration in die Plattform eines Unternehmens bietet.

Die Automatisierung kann die Verbesserung des Lebenszyklus einer API viel effizienter machen und sicherstellen, dass nur sichere APIs Zugriff auf Anwendungen und Ressourcen haben.