Pünktlich zur jährlichen RSA-Cybersicherheitskonferenz kündigte Google Cloud Updates für Apigee an, seinen API-Verwaltungs- und Predictive-Analytics-Service, der dazu beitragen soll, Angriffe auf die Geschäftslogik zu verhindern.
Angriffe auf Geschäftslogik sind Fehler im Design und in der Implementierung einer App, die es böswilligen Akteuren ermöglichen, unbeabsichtigtes Verhalten hervorzurufen. Sie können schwierig zu identifizieren sein – und sehr weit verbreitet. Laut a lernen Im Auftrag von Silver Tail Systems verloren 90 % der Unternehmen zwischen 2011 und 2012 Einnahmen aufgrund von Angriffen auf die Geschäftslogik.
Um diese Art von Exploits zu bekämpfen, führt Google neue Modelle für maschinelles Lernen in Apigee ein, die angeblich darauf trainiert wurden, potenzielle Angriffe auf die Geschäftslogik zu erkennen. Google Cloud behauptet, dass die Modelle, die allen Kunden von Apigee Advanced API Security zur Verfügung stehen und anhand interner Google-Daten trainiert wurden, sensibel genug sind, um subtiles Verhalten zu erkennen, wie z. B. einen Angreifer mit der Kontrolle über einen Server, der die „Aktivitätsmuster“ dieses Servers verändert.
„Die Modelle für maschinelles Lernen, die die API-Missbrauchserkennung unterstützen, wurden von Googles internen Teams trainiert und verwendet, um unsere öffentlich zugänglichen APIs zu schützen“, sagte Shelly Hershkovitz, Produktmanagerin bei Google Cloud, in einem Blogbeitrag. „Die Modelle beruhen auf jahrelangem Lernen und Best Practices.“
Neben den Modellen führt Apigee Dashboards ein, die API-Missbrauch angeblich genauer identifizieren, indem sie Muster in der großen Anzahl von Warnungen finden. Die Dashboards versuchen, „die Essenz“ von Angriffen zu erfassen, wie Hershkovitz es ausdrückt, zusammen mit wichtigen Merkmalen wie der Quelle der Angriffe, der Anzahl der API-Aufrufe und der Dauer der Angriffe.
„Mit dem Wachstum des API-Verkehrs erleben Unternehmen auf der ganzen Welt auch einen Anstieg böswilliger API-Angriffe, wodurch die API-Sicherheit zu einer erhöhten Priorität wird“, fuhr Hershkovitz fort. „Wir machen es schneller und einfacher, API-Missbrauchsvorfälle zu erkennen.“
Hershkovitz zufolge ist es wahr, dass die Bedenken hinsichtlich der API-Sicherheit in Unternehmen gewachsen sind – und weiter zunehmen. Nach Laut einer Umfrage (allerdings von einem API-Sicherheitsanbieter durchgeführt, volle Transparenz) gab es Ende 2022 einen großen Anstieg der API-Angriffe mit einem Anstieg des Volumens um 400 % gegenüber nur wenigen Monaten zuvor.
Diese Angriffe können teuer werden. Ein Imperva Analyse von fast 117.000 Sicherheitsvorfällen ergab, dass API-Unsicherheit Unternehmen jährlich zwischen 41 und 75 Milliarden US-Dollar kostet. Und ein separates Bericht aus dem Open Worldwide Application Security Project legt nahe, dass kleine Unternehmen mit der höchsten Anzahl von API-Sicherheitsvorfällen konfrontiert sind, wobei die meisten Vorfälle Unternehmen mit einem Umsatz von weniger als 50 Millionen US-Dollar betreffen – wodurch jeder Verstoß noch schädlicher für das Endergebnis ist.
Googles eigene Forschung – was mit Vorsicht zu genießen ist – zeigt, dass 50 % der Unternehmen in den letzten 12 Monaten einen API-Sicherheitsvorfall erlebt haben; davon verzögerten 77 % die Einführung eines neuen Dienstes oder einer neuen App.
„Es ist von entscheidender Bedeutung, dass Unternehmen API-Missbrauchsvorfälle frühzeitig erkennen und eindämmen, um anhaltende steuerliche und Reputationsschäden für das Unternehmen zu verhindern“, sagte Hershkovitz. „API-Sicherheitsvorfälle treten immer häufiger und störend auf.“