Google hat heute eine Vorschau auf Advanced API Security angekündigt, ein neues Produkt für Google Cloud, das darauf ausgelegt ist, Sicherheitsbedrohungen im Zusammenhang mit APIs zu erkennen. Basierend auf Apigee, Googles Plattform für API-Management, sagt das Unternehmen, dass Kunden ab heute Zugriff anfordern können.
Abkürzung für „Application Programming Interface“, APIs sind dokumentierte Verbindungen zwischen Computern oder zwischen Computerprogrammen. Die API-Nutzung nimmt zu, mit einem Umfrage Die Feststellung, dass mehr als 61,6 % der Entwickler sich 2021 mehr auf APIs verlassen haben als 2020. Aber sie werden auch zunehmend zum Ziel von Angriffen. Laut einer 2018 Bericht Im Auftrag des Cybersicherheitsanbieters Imperva stellen zwei Drittel der Unternehmen der Öffentlichkeit und Partnern ungesicherte APIs zur Verfügung.
Advanced API Security ist auf zwei Aufgaben spezialisiert: das Identifizieren von API-Fehlkonfigurationen und das Erkennen von Bots. Der Dienst bewertet regelmäßig verwaltete APIs und bietet empfohlene Maßnahmen, wenn er Konfigurationsprobleme erkennt, und er verwendet vorkonfigurierte Regeln, um eine Möglichkeit bereitzustellen, böswillige Bots im API-Datenverkehr zu identifizieren. Jede Regel stellt eine andere Art von ungewöhnlichem Datenverkehr von einer einzelnen IP-Adresse dar; Wenn ein API-Verkehrsmuster eine der Regeln erfüllt, wird es von Advanced API Security als Bot gemeldet.
„Fehlkonfigurierte APIs sind einer der Hauptgründe für API-Sicherheitsvorfälle. Während das Erkennen und Beheben von API-Fehlkonfigurationen für viele Unternehmen oberste Priorität hat, ist der Konfigurationsverwaltungsprozess zeitaufwändig und erfordert erhebliche Ressourcen“, sagte Vikas Ananda, Produktleiter bei Google Cloud, in einem Blogbeitrag, der vor der Ankündigung mit Tech geteilt wurde. „Erweiterte API-Sicherheit erleichtert es API-Teams, API-Proxys zu identifizieren, die nicht den Sicherheitsstandards entsprechen. . . . Darüber hinaus beschleunigt Advanced API Security den Prozess der Identifizierung von Datenschutzverletzungen, indem Bots identifiziert werden, die erfolgreich zur HTTP 200 OK-Erfolgsstatus-Antwortcode.“
Mit der Einführung von Advanced API Security versucht Google offensichtlich, seine Sicherheitsangebote unter Apigee zu stärken, das es 2016 für über eine halbe Milliarde Dollar erworben hat. Aber auch im API-Sicherheitssegment reagiert das Unternehmen auf den verstärkten Wettbewerb. Zu den Startups, die API-fokussierte Cybersicherheitsprodukte anbieten, gehören Salt Security, Noname Security und Neosec. Auch viele etablierte Anbieter haben ihr Angebot in den letzten Jahren erweitert, darunter Barracuda, Akamai, 42Crunch, Traceable, Ping Identity und Signal Sciences.
Im März Cloudflare gestartet ein neues Gateway, das darauf abzielt, die API-Sicherheit zu erhöhen. Und im Mai Imperva erworben API-Sicherheitsunternehmen CloudVector.
Während sich die Jury darüber streitet, wie gut diese Produkte im Vergleich funktionieren, ist die Bedrohung durch API-basierte Angriffe sehr real. Unternehmen wie Peloton, Parler und sogar LinkedIn sind in den letzten Monaten Opfer von API-gesteuerten Angriffen geworden. Sie sind nicht die Einzigen. Laut einer aktuellen lernen laut Cloudentity haben 44 % der Unternehmen „erhebliche“ Erfahrungen gemacht Probleme mit der API-Autorisierung in Bezug auf Datenschutz, Datenlecks und Offenlegung von Objekteigentum mit internen und externen APIs.