Das Geniale an Schnittstellen: Die meisten sind nur kleine und unauffällige Codeschnipsel, was ihren Bedarf an Netzwerkressourcen minimiert. Dennoch sind APIs flexibel und führen ihre Hauptfunktionen auch dann aus, wenn Änderungen - etwa Patches - anstehen. Doch APIs haben auch ihre Schwächen: Da sie nahezu alles können (von einzelnen, sich ständig wiederholenden Funktionen bis hin zur intelligenten Steuerung verschiedener Programme oder Plattformen), gibt es so gut wie keine Standards bezüglich ihrer Erstellung. Die meisten APIs sind einzigartig und werden oft je nach Bedarf neu geschaffen. Für Sicherheitsteams kann das ein Albtraum werden.

Für Angreifer sind APIs vor allem auch deswegen interessant, weil sie oft mit (zu) weitreichenden Berechtigungen ausgestattet sind. Selbst Schnittstellen, die nur wenige Funktionen aufweisen, haben manchmal Administratorrechte. Davon auszugehen, dass eine "kleine API" unmöglich Schaden anrichten kann, ist eine fatale Fehlannahme: Kompromittieren Cyberkriminelle APIs, dann verwenden sie die extrahierten Anmeldeinformationen im Regelfall für andere Zwecke, etwa zur Exfiltration von Daten oder um tiefer in das Unternehmensnetzwerk einzudringen. Einer Studie des Sicherheitsanbieters Akamai zufolge nehmen knapp 75 Prozent aller modernen Cyberangriffe anfällige APIs ins Visier. Laut Gartner wird sich dieses Problem noch verstärken: Die Analysten gehen davon aus, dass das Application Programming Interface bis 2022 der am häufigsten genutzte Angriffsvektor sein wird.

API Security Testing Tools: Top 10

Eine kritische Netzwerk- und Programmkomponente im Fadenkreuz von Angreifern zu wissen, ist beunruhigend genug. Im Fall von APIs ist die Situation noch prekärer, da es in Hinblick auf ihre Erstellung keine Standards gibt. Viele Unternehmen wissen wahrscheinlich gar nicht, wie viele Schnittstellen sie verwenden, und welche Aufgaben oder welche Berechtigungsstufe diese haben. Außerdem stellt sich die Frage, ob diese APIs Schwachstellen enthalten.

API Security Testing Tools können an dieser Stelle weiterhelfen. In diesem Bereich stehen Ihnen mehrere kommerzielle Angebote offen, es gibt aber auch eine Reihe (kostenloser oder preiswerter) Open-Source-Werkzeuge in diesem Bereich. Wir haben die zehn besten API Security Testing Tools und -Plattformen sowie deren wichtigste Funktionen für Sie zusammengestellt. Welche Lösung Sie wählen, hängt von Ihren Anforderungen, der Security-Erfahrung Ihrer IT-Teams und Ihrem Budget ab. Zu den kommerziellen Lösungen gehören:

APIsec

Die APIsec-Plattform funktioniert ähnlich wie ein auf APIs ausgerichtetes Penetrations-Tool. Während viele Tools sich auf die Suche nach gängigen und bekannten Schwachstellen beschränken (etwa für typische Angriffe wie Script Injections), führt APIsec Stresstests für jeden Aspekt der anvisierten APIs durch. diese sollen sicherstellen, dass vom Kernnetzwerk bis hin zu den Endpunkten, die darauf zugreifen, alles vor Fehlern im API-Code geschützt ist.

Ein großer Vorteil von APIsec: Das Tool kann bereits in der Entwicklungsphase eingesetzt werden, während die APIs programmiert werden. Anwendungen, die gerade entwickelt werden, vollständig zu scannen, dauert nur ein paar Minuten. Die Ergebnisse sind dabei vergleichbar mit denen von Penetrationstests der alten Schule, die einst Tage oder Wochen in Anspruch genommen haben.

AppKnox

Das Angebot von AppKnox richtet sich vor allem an Unternehmen, die keine großen Security-Ressourcen für ihre APIs zur Verfügung haben. AppKnox bietet eine übersichtliche Benutzeroberfläche und startet mit einem Scan, um APIs entweder in der Produktionsumgebung, auf Endpunkten oder wo auch immer sie eingesetzt werden, zu lokalisieren. Anschließend können die Benutzer wählen, welche Schnittstellen sie für weitere Tests einreichen möchten.

Das API Security Tool testet auf alle gängigen Probleme, die dazu führen können, dass eine Schnittstelle nicht mehr funktioniert oder kompromittiert wird. Dazu gehört auch eine vollständige Analyse von Webservern, Datenbanken und allen Serverkomponenten, die mit der API interagieren. Die Ergebnisse des Scans können für eine weitergehende Analyse durch einen Sicherheitsforscher eingereicht werden - ein Prozess, der laut Unternehmen normalerweise zwischen drei und fünf Tagen dauert.

Data Theorem API Secure

Die API Secure-Plattform von Data Theorem ist für CI/CD-Umgebungen konzipiert, um Schnittstellen sowohl in jeder Phase der Entwicklung als auch in der Produktionsumgebung kontinuierlich abzusichern. Die Analyse-Engine untersucht das Netzwerk kontinuierlich nach neuen APIs und kann nicht autorisierte Schnittstellen oder solche, die Teil der Schatten-IT sind, schnell zu Tage fördern

Dabei hält sich die API-Security-Plattform selbständig über die neuesten Schwachstellen auf dem Laufenden, geschützte Ressourcen werden kontinuierlich getestet. Data Theorem API Secure funktioniert sowohl mit On-Premises- als auch mit Cloud-Umgebungen. Um die CI/CD-Pipeline sauber zu halten, kann API Secure entdeckte Probleme automatisch beheben - völlig ohne manuelle Eingriffe. Unternehmen, die kein Problem mit einem hohen Automatisierungsgrad haben, können so ihre Schnittstellen vor aktuellen Bedrohungen schützen.

Postman

In erster Linie als Kollaborationsplattform für die Erstellung sicherer APIs bekannt, eignet sich Postman auch als Security Testing Tool für Schnittstellen. Das Tool kann sich auf einen Nutzerstamm von mehreren Millionen Entwicklern berufen, die mit Windows-, Linux- und iOS-Umgebungen arbeiten - und das aus gutem Grund. Postman bietet ein komplettes Set von API Tools für Developer und stellt außerdem ein sicheres Code Repository bereit. Dessen Verwendung kann dafür sorgen, dass zukünftige APIs von Anfang an strengen Sicherheits- und Organisationsstandards genügen.

Postman stellt Workspaces bereit, die den Entwicklern bei der Arbeitsorganisation zur Hand gehen sollen. Dazu kann das Tool Sicherheitswarnungen ausgeben, wenn der Code einer Applikation den Unternehmensstandards nicht genügt oder eine potenzielle Schwachstelle enthält. So lassen sich Security-Probleme beheben, lange bevor die Schnittstelle in die Produktionsumgebung gelangt.

Smartbear ReadyAPI

Die Plattform ReadyAPI von Smartbear wurde für API Security Testing und -Leistungsoptimierung entwickelt. API-Sicherheitsanalysen funktionieren mit einem einzigen Mausklick. Darüber hinaus lässt sich beispielsweise auch ermitteln, wie gut oder schlecht eine Schnittstelle unerwartete Last- oder Nutzungsspitzen bewältigt. Sie können mit ReadyAPI die Art von Datenverkehr generieren, den die API verarbeiten soll. Darüber hinaus lässt sich auch API Traffic in Echtzeit erfassen, um die Genauigkeit künftiger Tests zu optimieren und diese auf die jeweilige Umgebung der Schnittstelle abzustimmen.

Davon abgesehen ist die API-Security-Plattform in der Lage, fast jede Spezifikation und jedes Schema zu importieren, um Schnittstellen mit den gängigen Protokollen testen zu können. ReadyAPI unterstützt Git, Docker, Jenkins, Azure DevOps, TeamCity und mehr und kann in jeder Umgebung - von der Entwicklung bis zur Qualitätssicherung - genutzt werden, bevor die APIs in Betrieb gehen.

Synopsis API Scanner

Die Performanz des Synopsis API Scanner manifestiert sich darin, dass er zusätzlich zu Security Testing auch Fuzzing ermöglicht. Dabei werden Tausende von unerwarteten, ungültigen oder zufälligen Eingaben an APIs ausgesendet, um zu sehen, wie sie sich verhalten, beziehungsweise ob sie zusammenbrechen.

Das Tool zeichnet alle Pfade und die Logik einer Schnittstelle auf, einschließlich aller Endpunkte, Parameter, Authentifizierungen und Spezifikationen, die für sie gelten. Entwickler erhalten so ein klares Bild davon, welche Funktionen ihre APIs ausführen sollen - und was sie tatsächlich tun.

Open Source Tools bieten im Allgemeinen im Regelfall nicht die gleichen Support-Leistungen wie kommerzielle Angebote. Erfahrene Entwickler können sie allerdings leicht und oft kostenlos einsetzen, um die API-Sicherheit zu verbessern. Zu den innerhalb der Open-Source-Gemeinschaft populärsten Angeboten im Bereich API Security Testing Tools zählen:

Astra

Das quelloffene Tool Astra konzentriert sich hauptsächlich auf REST-APIs, die aufgrund konstanter Änderungen extrem schwierig zu händeln sind. Da der REST-Architekturstil die Skalierbarkeit der Interaktionen zwischen den Komponenten in den Fokus nimmt, kann es eine Herausforderung sein, solche REST-Schnittstellen auf Dauer abzusichern. Mit Hilfe von Astra lassen sich REST-APIs in die CI/CD-Pipeline integrieren. Dabei wird sichergestellt, dass sich gängige Schwachstellen nicht erneut einschleichen können.

crAPI

Nomen est omen trifft es in diesem Fall nicht: crAPI ist ein überaus effizienter API Wrapper und eines der wenigen Tools seiner Art, das eine Verbindung zu einem Zielsystem herstellen und einen Basispfad mit dem Standard-Handler-Set des Root-Clients bereitstellen kann. Dazu müssen keine neuen Verbindungen erstellt werden. Fortgeschrittene API-Entwickler können mit crAPI jede Menge Zeit sparen.

Apache JMeter

Wenig überraschend in Java geschrieben, wurde Apache JMeter ursprünglich als Load Tester für Webanwendungen entwickelt. Inzwischen kann das Tool aber für fast alle Anwendungen, Programme oder APIs eingesetzt werden. Mit seiner detaillierten Suite kann die Performance statischer oder dynamischer Ressourcen getestet werden. Dazu kann Apache JMeter schwere Traffic-Lasten simulieren, die Entwicklern Aufschluss darüber geben, wie ihre Schnittstellen unter Druck performen.

Taurus

Wenn Sie Standalone API-Testing-Programme in einen kontinuierlichen Testbetrieb verwandeln wollen, bietet Taurus dazu die Möglichkeit. Beim Blick unter die Haube des Tools entdecken Sie beispielsweise Optionen, um interaktive Berichte zu erzeugen oder komplexere API-Testszenarien zu erstellen. Außerdem können Sie mit Taurus etwa Fehlerkriterien konfigurieren, um entdeckte Probleme sofort beheben zu können. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.