Auditierungen von Application Programming Interfaces (APIs) decken Schwachstellen in APIs auf, bevor Cyber-Kriminelle sie ausnutzen können. Durch präzise Code-Analysen und gezielte Penetrationstests identifizieren sie potenzielle Risiken und verbessern die Sicherheit sensibler Daten.

Dabei wird Fokus auf Schnittstellen wie REST, SOAP, CRUD, GraphQL, RPC und/oder OpenAPI gelegt.

PWND Labs teilt API Auditierungen in 5 Phasen auf:

1. Planung- und Scoping-Phase
2. Durchführungsphase
3. Analyse- und Auswertungsphase
4. Berichtsphase
5. Retest & Kontinuierliche Überwachung

Planungs- und Scoping-Phase

In der Planungs- und Scoping-Phase werden Rahmen, Ziele, Umfang, Zeitpläne und Ressourcen klar definiert, um eine reibungslose und zielgerichtete Durchführung zu gewährleisten.

Festlegung Scope

Der Scope einer API Auditierung legt fest, welche Systeme, Anwendungen und Netzwerke in den Test einbezogen werden sollen, um sicherzustellen, dass alle kritischen Bereiche hinsichtlich ihrer Sicherheit überprüft werden, während Nicht-Zielbereiche geschützt bleiben.

Festlegung Durchführungszeitraum

Im Scoping-Prozess wird ein Durchführungszeitraum festgelegt, in dem der API Audit durchgeführt wird. Dieser variiert stark und wird anhand der folgenden Faktoren festgelegt:

• Größe der API-Landschaft: einzelne Schnittstelle, verbunde Schnittstellen, Microservices
• Testtiefe
• Komplexität der APIs: minimaler Logik oder umfangreiche Geschäftslogik, Abhängigkeiten
• Art der API: REST, SOAP, CRUD, GraphQL, RPC oder OpenAPI

PtA Permission to Attack

Die “Permission to Attack” (PtA) ist eine formale Genehmigung, die vor einem API Audit erforderlich ist, um sicherzustellen, dass der Test legal und ethisch durchgeführt wird.

• Es wird gewährleistet, dass alle Beteiligten, einschließlich der Unternehmensleitung, über den Test informiert sind und ihm zustimmen.
• Sie verhindert rechtliche Probleme
• und schafft klare Kommunikationswege und Verantwortlichkeiten, um Missverständnisse und Störungen während des Tests zu vermeiden.

Durchführungsphase

In der Durchführungsphase eines API Audits oder API Penetrationstest werden Techniken wie Dynamic Application Security Testing (DAST) eingesetzt, um Schwachstellen aufzudecken, es wird besonderer Fokus auf die OWASP Top 10 und Business-Logik-Fehler gelegt.

Dabei wird besonderen Fokus auf spezifische Herausforderungen der Einzelnen Technologien gelegt:

• REST APIs: URI-Struktur, Authentifizierungs- und Autorisierungsmechanismen
• SOAP APIs: Nachrichtensicherheit (z.B. WS-Security), XML-Schema-Validierung
• GraphQL APIs: Datenvalidierung, Authentifizierungs- und Autorisierungsmechanismen
• RPC APIs: Datenvalidierung, Input-Sanitisierung, Protokoll-Sicherheit
• OpenAPI: Sicherheitsspezifikationen in der Dokumentation und Konsistenz zwischen API-Implementierung und OpenAPI-Beschreibung
  

Weniger seriöse Anbieter verlassen sich oft ausschließlich auf automatisierte Scans, die komplexe und kontextspezifische Sicherheitslücken übersehen.

Einsparung von Lizenzgebühren

Ein weiterer großer Vorteil bei der Zusammenarbeit mit externen Auditoren für API Penetrationstests und API Audits sind die eingesparten Lizenzgebühren für Tools.

Als IT-Sicherheitsfirma erwirbt man eine Vielzahl von Lizenzen für diverse Schwachstellenscanner und Auditierungssoftware, die bei API Audits oder API Penetrationstests zum Einsatz kommen. Die Anschaffung dieser Lizenzen kann schnell zu vierstelligen monatlichen Ausgaben führen, die bei der Beauftragung von externen Spezialisten eingespart werden können.

Herangehensweisen

Es gibt drei Herangehensweisen, um API Audits oder API Penetrationstests durchzuführen: White-Box-, Grey-Box- und Black-Box-Tests. Diese Ansätze variieren im Grad der Informationen, die den Testern zur Verfügung stehen.

PWND Labs verfügt über Erfahrung in allen drei Bereichen. Je nach Situation und Ziel des Tests kann eine dieser Herangehensweisen effektiver sein als die anderen. Es ist wichtig, den richtigen Ansatz zu wählen, um optimale Ergebnisse zu erzielen und maßgeschneiderte Sicherheitslösungen zu entwickeln.

White Box

Eingehende Analysen mit vollem Zugriff auf die interne Anwendung und den Quellcode.

• Deckt tiefgehende Sicherheitslücken auf
• Schnelleste Applikationsanalyse
• Übergreifende Sicherheitsanalyse

Grey Box

Simuliert reale Angriffe mit teilweiser Kenntnis und Zugriff auf die interne Struktur.

• Gute Abdeckung des Anwendungsbereichs
• Ermöglicht gezielte Tests auf der Grundlage von Teilwissen

Black Box

Deckt verborgene Schwachstellen durch externe Tests ohne Zugang und Informationen über die interne Struktur auf.

• Simulation von realen Angriffen

Analyse- und Auswertungsphase

In der Analyse- und Auswertungsphase werden die gesammelten Daten aus dem API Audit untersucht, um Schwachstellen zu identifizieren und deren Risiken zu bewerten.

Reporting

Nach jedem API Audit erhalten Kunden einen umfassenden Bericht, der die gefundenen Schwachstellen sowie deren Auswirkungen und Risikobewertungen detailliert beschreibt.

Berichte von PWND Labs erleichtern die Einschätzung der Dringlichkeit notwendiger Maßnahmen, da sie die Schwachstellen nach Schweregrad priorisieren. Darüber hinaus bieten wir praxisnahe Lösungs- und Verbesserungsvorschläge hinsichtlich der Sicherheitsarchitektur an. Diese Vorschläge sind darauf ausgelegt, spezifische Sicherheitslücken zu schließen und die langfristige Resilienz des Systems zu stärken.

Berichtsphase

Besprechung von Erfahrungen und Erkenntnissen aus dem API Audit zur Verbesserung zukünftiger Sicherheitsmaßnahmen.

Management-Präsentation

Ausgabe und Diskussion des Berichts mit Entscheidungsträgern und CISO, um die nächsten Schritte zu planen.

Workshop mit Entwicklern

Ein Entwicklerworkshop dient dazu, Entwicklerteams gezielt in sicheren Programmierpraktiken zu schulen und das Bewusstsein für Sicherheitsschwachstellen zu erhöhen, um die Erstellung robuster und sicherer Anwendungen zu fördern.

Retest & Kontinuierliche Überprüfung

Zum Schluss wird überprüft, ob die behobenen Schwachstellen tatsächlich geschlossen wurden, und es werden fortlaufende Sicherheitsmaßnahmen implementiert, um neu auftretende Bedrohungen frühzeitig zu erkennen.

Retesting

Nach einem API Audit empfiehlt PWND Labs einen kurzen Retest nach 3-6 Monaten, um die erfolgreiche Behebung der Schwachstellen sicherzustellen.

Darüber hinaus werden regelmäßige Retests, entweder quartalsweise oder jährlich, empfohlen, um die Wirksamkeit der implementierten Sicherheitsmaßnahmen zu gewährleisten. Diese Retests helfen, neue Schwachstellen zu identifizieren und die kontinuierliche Integrität der Sicherheitsarchitektur zu sichern. Dadurch wird garantiert, dass das System stets gegen die neuesten Bedrohungen geschützt ist.

Kontinuierliche Überprüfung

Um die Sicherheitsarchitektur zu stärken und regulatorische Anforderungen zu erfüllen, wird neben regelmäßigen API Audits eine kontinuierliche Überprüfung der Infrastruktur empfohlen. Dazu gehört ein effektives Vulnerability Management sowie die Zusammenarbeit mit einem Security Operations Center (SOC)-Dienstleister.

Obwohl PWND Labs diese Dienstleistungen nicht direkt anbietet, können wir Ihnen dank unseres starken Partnernetzwerks klare und maßgeschneiderte Empfehlungen geben, um Ihre Sicherheitsmaßnahmen nachhaltig zu optimieren.