Wie AI die API-Sicherheit verbessert

APIs sind zum Kronjuwel der digitalen Transformationsinitiativen von Unternehmen geworden und ermöglichen Mitarbeitern, Partnern, Kunden und anderen Interessengruppen den Zugriff auf Anwendungen, Daten und Geschäftsfunktionen in ihrem gesamten digitalen Ökosystem. Kein Wunder also, dass Hacker ihre Angriffswellen gegen diese kritischen Unternehmensressourcen verstärkt haben.

Leider sieht es so aus, als würde sich das Problem nur verschlimmern. Gartner hat vorausgesagt, dass "bis 2022 API-Missbrauch der häufigste Angriffsvektor sein wird, der zu Datenverletzungen für Unternehmenswebanwendungen führt."

Viele Unternehmen haben daraufhin API-Verwaltungslösungen implementiert, die Mechanismen wie Authentifizierung, Autorisierung und Drosselung bereitstellen. Dies sind unverzichtbare Funktionen, um zu steuern, wer wie oft im gesamten API-Ökosystem auf APIs zugreift. Bei der Entwicklung ihrer internen und externen API-Strategien müssen Unternehmen jedoch auch dem Wachstum komplexerer Angriffe auf APIs begegnen, indem sie dynamische, auf künstlicher Intelligenz (KI) basierende Sicherheit implementieren.

In diesem Artikel werden API-Verwaltungs- und Sicherheitstools untersucht, die Unternehmen integrieren sollten, um Sicherheit, Integrität und Verfügbarkeit in ihren API-Ökosystemen sicherzustellen.

Regelbasierte und richtlinienbasierte Sicherheitsmaßnahmen

Regelbasierte und richtlinienbasierte Sicherheitsüberprüfungen, die statisch oder dynamisch durchgeführt werden können, sind obligatorische Bestandteile jeder API-Verwaltungslösung. API-Gateways dienen als Haupteinstiegspunkt für den API-Zugriff und übernehmen daher in der Regel die Durchsetzung von Richtlinien, indem eingehende Anforderungen anhand von Richtlinien und Regeln in Bezug auf Sicherheit, Ratenbeschränkungen, Drosselung usw. überprüft werden. Schauen wir uns einige statische und dynamische Sicherheitsüberprüfungen genauer an, um weitere Informationen zu erhalten Wert, den sie bringen.

Statische Sicherheitsüberprüfungen

Statische Sicherheitsüberprüfungen hängen nicht vom Anforderungsvolumen oder früheren Anforderungsdaten ab, da sie normalerweise Nachrichtendaten anhand eines vordefinierten Satzes von Regeln oder Richtlinien validieren. In Gateways werden verschiedene statische Sicherheitsüberprüfungen durchgeführt, um unter anderem die SQL-Injection, zusammenhängende Parsing-Angriffe, Entity-Erweiterungsangriffe und Schema-Vergiftungen zu blockieren.

In der Zwischenzeit können statische Richtlinienprüfungen unter anderem auf das Scannen von Nutzdaten, die Überprüfung von Headern und Zugriffsmuster angewendet werden. Beispielsweise ist die SQL-Injection eine häufige Art von Angriff, der mit Nutzdaten ausgeführt wird. Wenn ein Benutzer eine JSON-Nutzlast (JavaScript Object Notation) sendet, kann das API-Gateway diese bestimmte Anforderung anhand eines vordefinierten JSON-Schemas überprüfen. Das Gateway kann auch die Anzahl der Elemente oder anderen Attribute im Inhalt begrenzen, die zum Schutz vor schädlichen Daten oder Textmustern in Nachrichten erforderlich sind.

Dynamische Sicherheitsüberprüfungen

Dynamische Sicherheitsüberprüfungen prüfen im Gegensatz zu statischen Sicherheitsüberprüfungen immer etwas, das sich im Laufe der Zeit ändert. In der Regel werden dazu Anforderungsdaten mit Entscheidungen validiert, die unter Verwendung vorhandener Daten getroffen wurden. Beispiele für dynamische Überprüfungen sind die Validierung von Zugriffstoken, die Erkennung von Anomalien und die Drosselung. Diese dynamischen Überprüfungen hängen stark vom Datenvolumen ab, das an das Gateway gesendet wird. Manchmal finden diese dynamischen Überprüfungen außerhalb des API-Gateways statt, und dann werden die Entscheidungen an das Gateway übermittelt. Schauen wir uns ein paar Beispiele an.

Drosselung und Ratenbegrenzung sind wichtig, um die Auswirkungen von Angriffen zu verringern. Wenn Angreifer Zugriff auf APIs erhalten, lesen sie zunächst so viele Daten wie möglich. Das Drosseln von API-Anforderungen, dh das Einschränken des Zugriffs auf die Daten, erfordert, dass wir die Anzahl der eingehenden Anforderungen innerhalb eines bestimmten Zeitfensters halten. Wenn eine Anforderungsanzahl den zu diesem Zeitpunkt zugewiesenen Betrag überschreitet, kann das Gateway API-Aufrufe blockieren. Mit der Ratenbegrenzung können wir den gleichzeitigen Zugriff für einen bestimmten Dienst einschränken.

Authentifizierung

Mithilfe der Authentifizierung können API-Gateways jeden Benutzer identifizieren, der eine API eindeutig aufruft. Verfügbare API-Gateway-Lösungen unterstützen im Allgemeinen die Basisauthentifizierung, OAuth 2.0, JWT-Sicherheit (JSON Web Token) und zertifikatbasierte Sicherheit. Einige Gateways bieten darüber hinaus eine Authentifizierungsschicht für eine zusätzliche detaillierte Berechtigungsüberprüfung, die normalerweise auf Richtliniendefinitionssprachen im XACML-Stil (eXtensible Access Control Markup Language) basiert. Dies ist wichtig, wenn eine API mehrere Ressourcen enthält, die für jede Ressource unterschiedliche Zugriffssteuerungsebenen benötigen.

Einschränkungen der herkömmlichen API-Sicherheit

Richtlinienbasierte Ansätze zur Authentifizierung, Autorisierung, Ratenbegrenzung und Drosselung sind effektive Tools, hinterlassen jedoch immer noch Risse, durch die Hacker APIs ausnutzen können. Insbesondere stellen API-Gateways mehrere Webdienste zur Verfügung, und die von ihnen verwalteten APIs werden häufig mit einer hohen Anzahl von Sitzungen geladen. Selbst wenn wir alle diese Sitzungen mithilfe von Richtlinien und Prozessen analysieren würden, wäre es für ein Gateway schwierig, jede Anforderung ohne zusätzliche Rechenleistung zu überprüfen.

Darüber hinaus verfügt jede API über ein eigenes Zugriffsmuster. Ein legitimes Zugriffsmuster für eine API kann also auf böswillige Aktivitäten für eine andere API hinweisen. Wenn jemand beispielsweise Artikel über eine Online-Einkaufsanwendung kauft, führt er vor dem Kauf mehrere Suchvorgänge durch. Ein einzelner Benutzer, der innerhalb kurzer Zeit 10 bis 20 Anforderungen an eine Such-API sendet, kann daher ein legitimes Zugriffsmuster für eine Such-API sein. Wenn derselbe Benutzer jedoch mehrere Anfragen an die Kauf-API sendet, kann das Zugriffsmuster auf böswillige Aktivitäten hinweisen, z. B. einen Hacker, der versucht, mit einer gestohlenen Kreditkarte so viel wie möglich abzuheben. Daher muss jedes API-Zugriffsmuster separat analysiert werden, um die richtige Antwort zu ermitteln.

Ein weiterer Faktor ist, dass eine erhebliche Anzahl von Angriffen intern erfolgt. Hier nutzen Benutzer mit gültigen Anmeldeinformationen und Zugriff auf Systeme ihre Fähigkeit, diese Systeme anzugreifen. Richtlinienbasierte Authentifizierungs- und Autorisierungsfunktionen sollen diese Art von Angriffen nicht verhindern. 

Selbst wenn wir mehr Regeln und Richtlinien auf ein API-Gateway anwenden könnten, um uns vor den hier beschriebenen Angriffen zu schützen, wäre der zusätzliche Aufwand für das API-Gateway nicht akzeptabel. Unternehmen können es sich nicht leisten, echte Benutzer zu frustrieren, indem sie sie bitten, die Verarbeitungsverzögerungen ihrer API-Gateways zu tragen. Stattdessen müssen Gateways gültige Anforderungen verarbeiten, ohne Benutzer-API-Aufrufe zu blockieren oder zu verlangsamen.

Der Fall für das Hinzufügen einer AI-Sicherheitsschicht

Um die Lücken zu schließen, die durch richtlinienbasierten API-Schutz entstehen, benötigen moderne Sicherheitsteams auf künstlicher Intelligenz basierende API-Sicherheit, die dynamische Angriffe und die einzigartigen Schwachstellen jeder API erkennen und darauf reagieren kann. Durch die Anwendung von KI-Modellen zur kontinuierlichen Überprüfung und Berichterstellung aller API-Aktivitäten können Unternehmen automatisch anomale API-Aktivitäten und Bedrohungen in API-Infrastrukturen erkennen, die bei herkömmlichen Methoden fehlen.

Selbst in Fällen, in denen Standard-Sicherheitsmaßnahmen Anomalien und Risiken erkennen können, kann es Monate dauern, bis die Entdeckungen gemacht werden. Im Gegensatz dazu würde eine AI-gesteuerte Sicherheitsschicht bei Verwendung vorgefertigter Modelle, die auf Benutzerzugriffsmustern basieren, es ermöglichen, einige Angriffe nahezu in Echtzeit zu erkennen.

Wichtig ist, dass AI-Engines normalerweise außerhalb von API-Gateways ausgeführt werden und ihnen ihre Entscheidungen mitteilen. Da das API-Gateway keine Ressourcen für die Verarbeitung dieser Anforderungen aufwenden muss, wirkt sich das Hinzufügen von AI-Sicherheit normalerweise nicht auf die Laufzeitleistung aus.

Integration von richtlinienbasierter und AI-gesteuerter API-Sicherheit

Wenn Sie einer API-Verwaltungsimplementierung AI-gestützte Sicherheit hinzufügen, gibt es einen Sicherheitsdurchsetzungspunkt und einen Entscheidungspunkt. Typischerweise sind diese Einheiten aufgrund der hohen erforderlichen Rechenleistung unabhängig, aber die Latenz sollte ihre Effizienz nicht beeinträchtigen dürfen.

Das API-Gateway fängt API-Anforderungen ab und wendet verschiedene Richtlinien an. Damit verbunden ist der Sicherheitsdurchsetzungspunkt, der die Attribute jeder Anforderung (API-Aufruf) an den Entscheidungspunkt beschreibt, eine Sicherheitsentscheidung anfordert und diese Entscheidung dann im Gateway erzwingt. Der Entscheidungspunkt, der von AI unterstützt wird, lernt kontinuierlich das Verhalten jedes API-Zugriffsmusters, erkennt anomale Verhaltensweisen und kennzeichnet verschiedene Attribute der Anforderung.

Es sollte eine Option geben, dem Entscheidungspunkt nach Bedarf Richtlinien hinzuzufügen und diese Richtlinien - die von API zu API variieren können - während des Lernzeitraums aufzurufen. Alle Richtlinien sollten vom Sicherheitsteam definiert werden, sobald die potenziellen Schwachstellen jeder API, die sie offenlegen möchten, vollständig verstanden wurden. Selbst ohne Unterstützung durch externe Richtlinien wird die adaptive, KI-gestützte Entscheidungspunkt- und Durchsetzungspunkttechnologie schließlich einige der komplexen Angriffe lernen und verhindern, die wir mit Richtlinien nicht erkennen können.

Ein weiterer Vorteil von zwei separaten Komponenten für Sicherheitsdurchsetzungspunkte und Entscheidungspunkte ist die Möglichkeit, sich in vorhandene API-Verwaltungslösungen zu integrieren. Eine einfache Verbesserung der Benutzeroberfläche und eine angepasste Erweiterung könnten den Sicherheitsdurchsetzungspunkt in den API-Herausgeber und das Gateway integrieren. Über die Benutzeroberfläche kann der API-Herausgeber auswählen, ob die AI-Sicherheit für die veröffentlichte API zusammen mit den erforderlichen speziellen Richtlinien aktiviert werden soll. Der erweiterte Sicherheitsdurchsetzungspunkt würde die Anforderungsattribute im Entscheidungspunkt veröffentlichen und den Zugriff auf die API gemäß der Antwort des Entscheidungspunkts einschränken.

Das Veröffentlichen von Ereignissen am Entscheidungspunkt und das Einschränken des Zugriffs basierend auf seiner Antwort nimmt jedoch Zeit in Anspruch und hängt stark vom Netzwerk ab. Daher wird es am besten asynchron mit Hilfe eines Caching-Mechanismus implementiert. Dies wirkt sich ein wenig auf die Genauigkeit aus. Wenn Sie jedoch die Effizienz des Gateways berücksichtigen, trägt das Hinzufügen einer AI-Sicherheitsschicht nur minimal zur Gesamtlatenz bei.

KI-gesteuerte Herausforderungen für die Sicherheitsschicht

Natürlich sind Vorteile nicht ohne Kosten. Eine AI-gesteuerte Sicherheitsschicht bietet zwar ein zusätzliches Maß an API-Schutz, birgt jedoch einige Herausforderungen, denen sich Sicherheitsteams stellen müssen.

  • Zusätzlicher Overhead . Die zusätzliche AI-Sicherheitsschicht erhöht den Nachrichtenfluss um einen gewissen Aufwand. Mediationslösungen sollten daher intelligent genug sein, um das Sammeln und Veröffentlichen von Informationen außerhalb des Hauptmediationsflusses zu handhaben.
  • False Positives . Ein hohes Volumen an Fehlalarmen erfordert eine zusätzliche Überprüfung durch Sicherheitsexperten. Mit einigen fortschrittlichen KI-Algorithmen können wir jedoch die Anzahl der ausgelösten Fehlalarme reduzieren.
  • Mangel an Vertrauen . Menschen fühlen sich unwohl, wenn sie nicht verstehen, wie eine Entscheidung getroffen wurde. Mithilfe von Dashboards und Warnungen können Benutzer die Faktoren hinter einer Entscheidung visualisieren. Wenn beispielsweise in einer Warnung eindeutig angegeben wird, dass ein Benutzer für den Zugriff auf das System mit einer ungewöhnlichen Rate von mehr als 1.000 Mal innerhalb einer Minute blockiert wurde, können Benutzer die Entscheidung des Systems verstehen und ihr vertrauen.
  • Datenanfälligkeit . Die meisten KI- und maschinellen Lernlösungen basieren auf riesigen Datenmengen, die häufig sensibel und persönlich sind. Infolgedessen können diese Lösungen anfällig für Datenverletzungen und Identitätsdiebstahl werden. Die Einhaltung der DSGVO der Europäischen Union (Allgemeine Datenschutzverordnung) trägt zur Minderung dieses Risikos bei, beseitigt es jedoch nicht vollständig.
  • Beschriftete Datenbeschränkungen . Die leistungsstärksten KI-Systeme werden durch überwachtes Lernen trainiert, für das beschriftete Daten erforderlich sind, die so organisiert sind, dass sie für Maschinen verständlich sind. Beschriftete Daten haben jedoch Grenzen, und die zukünftige automatisierte Erstellung immer schwieriger werdender Algorithmen wird das Problem nur verschlimmern.
  • Fehlerhafte Daten . Die Effektivität eines KI-Systems hängt von den Daten ab, auf denen es trainiert wird. Zu oft werden schlechte Daten mit ethnischen, kommunalen, geschlechtsspezifischen oder rassistischen Vorurteilen in Verbindung gebracht, die entscheidende Entscheidungen über einzelne Benutzer beeinflussen können.

Angesichts der entscheidenden Rolle von APIs in Unternehmen werden sie zunehmend zu Zielen für Hacker und böswillige Benutzer. Richtlinienbasierte Mechanismen wie Authentifizierung, Autorisierung, Scannen von Nutzdaten, Schemaüberprüfung, Drosselung und Ratenbegrenzung sind Grundvoraussetzungen für die Implementierung einer erfolgreichen API-Sicherheitsstrategie. Nur durch Hinzufügen von KI-Modellen zur kontinuierlichen Überprüfung und Berichterstattung über alle API-Aktivitäten werden Unternehmen vor den derzeit ausgefeiltesten Sicherheitsangriffen geschützt.

Sanjeewa Malalgoda ist Softwarearchitekt und Associate Director of Engineering bei WSO2, wo er die Entwicklung des WSO2 API Managers leitet. Lakshitha Gunasekara ist Softwareentwicklerin im WSO2 API Manager-Team. 

- -

Das New Tech Forum bietet einen Ort, an dem Sie neue Unternehmenstechnologien in beispielloser Tiefe und Breite erkunden und diskutieren können. Die Auswahl ist subjektiv, basierend auf unserer Auswahl der Technologien, die wir für wichtig und für die Leser von größtem Interesse halten. akzeptiert keine Marketingmaterialien zur Veröffentlichung und behält sich das Recht vor, alle eingebrachten Inhalte zu bearbeiten. Senden Sie alle Anfragen an  [email protected] .