Die 10 besten API-Security-Tools

Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) sind zu einem wichtigen Bestandteil von Netzwerken, Programmen, Anwendungen, Geräten und fast allen anderen Bereichen der Computerlandschaft geworden. Dies gilt insbesondere für das Cloud Computing und das Mobile Computing. Beides könnte in der derzeitigen Form nicht existieren, wenn nicht APIs einen Großteil der Backend-Funktionen verwalten würden.

Aufgrund ihrer Zuverlässigkeit und Einfachheit sind APIs inzwischen allgegenwärtig. Die meisten Unternehmen wissen wahrscheinlich nicht einmal, wie viele APIs in ihren Netzwerken, insbesondere in ihren Clouds, betrieben werden. In größeren Unternehmen sind wahrscheinlich Tausende Schnittstellen im Einsatz. Auch kleinere Unternehmen nutzen mehr APIs, als ihnen bewusst ist.

Lesetipp: APIs – der Klebstoff für die Digitalisierung

Die Risiken von APIs

So nützlich APIs auch geworden sind, bringt ihre Verwendung dennoch Gefahren mit sich. Da es nur wenige Standards für die Erstellung der Schnittstellen gibt und viele davon einzigartig sind, ist es nicht ungewöhnlich, dass APIs Schwachstellen enthalten, die ausgenutzt werden können. Cyberkriminelle haben mittlerweile festgestellt, dass ein Angriff auf eine API oft viel einfacher ist als ein direkter Angriff auf ein Programm, eine Datenbank, eine Anwendung oder ein Netzwerk. Einmal kompromittiert, ist es einfach, die Funktion einer API zu ändern.

Die andere große Gefahr der Schnittstellen besteht darin, dass sie fast immer mit zu vielen Berechtigungen ausgestattet sind. Programmierer geben ihnen hohe Berechtigungen, damit sie ihre Funktionen ohne Unterbrechung ausführen können. Wenn jedoch ein Angreifer eine API kompromittiert, kann er diese hohen Berechtigungen für andere Dinge nutzen, als hätte er das Konto eines menschlichen Administrators kompromittiert. Dies ist zu einem solchen Problem geworden, dass nach Untersuchungen von Akamai Angriffe auf APIs 75 Prozent aller Versuche des Diebstahls von Zugangsdaten weltweit ausmachen.

Lesetipp: 5 Schlüssel zum Schnittstellen-Erfolg

Das können API-Tools

Angesichts der Schwere des Problems des API-Hackings ist es keine Überraschung, dass die Zahl der Sicherheitstools hierfür in den vergangenen Jahren ebenfalls stark zugenommen hat. Es gibt Dutzende von kommerziellen Tools zum Schutz von APIs und Hunderte von kostenlosen Lösungen oder Open Source Tools. Viele haben Ähnlichkeiten und Funktionen mit anderen Arten von Cybersicherheitslösungen, sind jedoch speziell für die Besonderheiten von Schnittstellen konfiguriert.

Die gängigste Art dieser Tools sind solche, die APIs vor bösartigen Anfragen schützen, sozusagen eine API-Firewall. Andere Lösungen sind so konzipiert, dass sie dynamisch auf eine bestimmte Schnittstelle zugreifen und in ihrem Code nach Schwachstellen suchen, um ihn zu härten. Wieder andere Werkzeuge scannen die gesamte Infrastruktur, um Unternehmen einen Überblick darüber zu verschaffen, wie viele APIs in ihrem Netzwerk existieren.

Eine vollständige Liste aller Sicherheits-Tools für Programmierschnittstellen zu erstellen wäre angesichts der Vielzahl an Lösungen nahezu unmöglich. Auf Basis von Nutzerbewertungen haben wir einige Tools aufgelistet, die auf dem Markt besonders hervorstechen:

Myra

Myra ist eine deutsche Security-as-a-Service-Plattform, die im Bereich Application Security verschiedene Tools zum Schutz für Webseiten, Online-Portale, Webapplikationen und APIs bietet. Der Anbieter stellt dazu individuelle WAF- (Web Application Firewall) und WAAP-Lösungen (Web Application und API Protection) für Unternehmen bereit. Zu den Kunden zählen namhafte Unternehmen und Behörden aus Deutschland.

APIsec

APIsec ist eines der beliebtesten API-Sicherheitstools. Es arbeitet fast vollständig automatisiert und eignet sich daher für Unternehmen, die gerade erst mit der Verbesserung ihrer API-Sicherheit beginnen. In einer Produktionsumgebung, in der bereits APIs eingerichtet sind, scannt APIsec diese und testet sie auf Schwachstellen. Darüber hinaus wird jede Schnittstelle einem vollständigen Stresstest unterzogen, um sicherzustellen, dass sie gegen Angriffe, die nicht so leicht zu erkennen sind, abgesichert ist. Wenn Probleme gefunden werden, werden sie zusammen mit detaillierten Ergebnissen an die Sicherheitsanalysten gemeldet. Zudem können Entwickler APIsec proaktiv einsetzen, wenn APIs erstellt werden. Auf diese Weise können etwaige Schwachstellen beseitigt werden, bevor die Schnittstellen in Betrieb genommen wird.

Astra

Astra ist ein kostenloses Tool, was bedeutet, dass es dafür nur begrenzt Support gibt und die Benutzer es von GitHub herunterladen und in ihrer Umgebung installieren müssen. Dennoch genießt Astra einen hervorragenden Ruf für die Verwaltung und den Schutz, hauptsächlich von REST-APIs. Durch die Integration in die CI/CD-Pipeline hilft Astra dabei, sicherzustellen, dass häufige Sicherheitslücken sich nicht in vermeintlich sichere REST-APIs einschleichen.

AppKnox

Die AppKnox-Plattform hat eine sehr einfach zu bedienende Oberfläche und hat sich vor allem bei Unternehmen mit kleinen Sicherheitsteams durchgesetzt, da sie die API-Sicherheit mit nur wenig Aufwand verbessert. Nach der Installation testet AppKnox die Schnittstellen auf häufig auftretende Schwachstellen wie Fehler bei HTTP-Anfragen oder Lücken, die eine SQL-Injection ermöglichen. Außerdem werden alle Ressourcen gescannt, die mit APIs verbunden sind, um sicherzustellen, dass sie nicht zu einem Angriffspfad für Hacker werden können.

Cequence

Die Plattform von Cequence wurde für Unternehmen entwickelt, in deren Umgebungen täglich Milliarden von Anfragen an APIs bearbeitet werden. Cequence Unified API Protection identifiziert zunächst alle Schnittstellen innerhalb des Unternehmens und legt sie in einem Inventar ab. Danach können die Schnittstellen allgemeinen Tests auf Schwachstellen unterzogen werden. Zudem können Sicherheitsteams spezifische Tests definieren, die für bestimmte Gruppen von APIs durchgeführt werden. Dies ist nicht nur für die Sicherung von APIs äußerst hilfreich, sondern auch für die Einhaltung von staatlichen oder branchenspezifischen Vorschriften, die bestimmte Schutzmaßnahmen vorschreiben. Über die Cequence-Plattform können Unternehmen zudem automatische Reaktionen auf verdächtige Interaktionen mit einer API einrichten. Dank des hohen Automatisierungsgrades müssen Unternehmen keine zusätzlichen Lösungen einrichten, um die Schutzmaßnahmen zu aktivieren.

Data Theorem

Data Theorem API Secure kann jede API inventarisieren, die in einem Netzwerk, einer Cloud, einer Anwendung oder einem beliebigen anderen Ziel existiert. Das macht die Lösung zu einer guten Wahl für Unternehmen, die ihre API-Sicherheit verbessern wollen, aber nicht wissen, wo sie anfangen sollen oder wie viele APIs sie überhaupt verwenden. Außerdem hält sie das Inventar auf einem aktuellen Stand und findet schnell alle neuen APIs, sobald welche bereitgestellt werden und testet sie auf Schwachstellen. Die Lösung behebt die Fehler dann entweder selbst oder markiert die API, damit ein Analyst sie untersucht.

Salt Security

Eine der ersten API-Plattformen, die mit Künstlicher Intelligenz arbeitet, ist die API Protection Platform von Salt Security. Die Lösung sammelt den API-Verkehr und analysiert, welche Schnittstellen aufgerufen werden und wie sie darauf reagieren. Die Ergebnisse vergleicht Salt Security sowohl mit lokalen Traffic-Daten wie auch mit Traffic-Daten, die in einer Big Data Engine in der Cloud gespeichert sind. Auch diese Plattform erkennt die meisten Attacken, stoppt sie und meldet verdächtige Aktivitäten an die Sicherheitsexperten. Die Plattform lernt mit der Zeit dazu und je länger sie die Schnittstellen untersucht, desto genauer kann sie bestimmen, welches Verhalten in einem spezifischen Netzwerk legitim ist und welches sie melden soll.

Noname Security

Noname Security konnte sich besonders bei großen Unternehmen einen guten Ruf erarbeiten. Berichten zufolge wird die Plattform des Unternehmens von 20 Prozent der Fortune-500-Unternehmen verwendet. Sie wurde entwickelt, um über den Standard-Schutz vor API-Schwachstellen hinauszugehen, indem sie die Verkehrsdaten analysiert, die über die Schwachstellen laufen. Anschließend nutzt Noname KI und maschinelles Lernen, um nach bösartigen Aktivitäten zu suchen. Neben gängigen Schnittstellen unterstützt die Lösung auch nicht-standardisierte APIs wie HTTP-, RESTful-, GraphQL-, SOAP-, XML-RPC-, JSON-RPC- und gRPC-APIs. Anhand von Verkehrsdaten kann Noname sogar APIs finden, katalogisieren und schützen, die nicht von einem API-Gateway verwaltet werden, oder selbst erstellte APIs, die keinen Standardprotokollen folgen.

Smartbear

Die Lösung ReadyAPI von Smartbear konzentriert sich auf die Entwicklungsumgebung und kann nicht nur dazu verwendet werden, APIs während ihrer Entwicklung auf Sicherheitsschwachstellen zu testen, sondern auch ihre Leistung zu überwachen. Auf diese Weise können Entwickler zum Beispiel sehen, was passiert, wenn eine API auf ein sehr großes Datenvolumen trifft, was ebenfalls ein Sicherheitsproblem darstellen könnte. Als Teil dieser Tests können Benutzer konfigurieren, welche Arten von Datenverkehr auf APIs während der Entwicklung angewendet werden sollen. Alternativ kann ReadyAPI echten Datenverkehr aus dem Netzwerk des Unternehmens erfassen und diesen für einen sehr realistischen Test verwenden. ReadyAPI unterstützt von Haus aus Git, Docker, Jenkins, Azure DevOps, TeamCity und weitere Software.

Wallarm

Die End-to-End-Plattform für API-Sicherheit von Wallarm wurde zwar für Cloud-Umgebungen entwickelt, in der sich viele APIs befinden, kann aber auch zum Schutz von APIs eingesetzt werden, die sich in On-Premise-Geräten befinden. Wallarm schützt Schnittstellen vor gängigen Bedrohungen wie auch vor spezifischen Gefahren wie Credential-Stuffing-Angriffen, die häufig gegen APIs gerichtet sind. Die Lösung kann auch dazu beitragen, DDoS-Angriffe oder Attacken durch Bots zu entschärfen. In Anbetracht der Tatsache, dass der größte Teil des heutigen Internetverkehrs aus Bots besteht, ist dies eine nützliche Funktion.

Des Weiteren bietet die Plattform einen detaillierten Einblick über das gesamte API-Portfolio eines Unternehmens auf der Grundlage des Benutzerverkehrs. Dadurch erhalten Anwender einen Überblick darüber, wie es um die Sicherheit steht und wie das Sicherheitslevel noch erhöht werden kann. Das ist zwar nicht der Hauptzweck der Wallarm-Plattform, aber die detaillierten Berichte sind sicherlich auch in anderen Bereichen außerhalb der Sicherheit hilfreich. (ms)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.