API-Sicherheit neu gedacht

Mit Honeypots Angriffe sichtbar machen.

05.02.2025

Julian Richter, Senior Cybersecurity Engineer, Consulteer InCyber

Die Anzahl an APIs explodiert - nicht zuletzt durch den immer stärkeren Einsatz von Künstlicher Intelligenz (KI).

Für das Jahr 2023 listet der Postman State of API Report bereits 1.3 Milliarden aktive APIs. Der Verdacht, dass diese Zahl im Jahr 2024 eher gewachsen als geschrumpft ist, liegt nahe. Dementsprechend werden APIs immer häuﬁger Ziel von Attacken und die Anzahl von Angriﬀen gegen APIs hat schon lange diejenigen, die auf klassische Webanwendungen abzielen, überholt.

Um ein besseres Bild über die Vorgehensweise von Angriﬀen gegenüber APIs und harte Daten, Zahlen und Fakten zu erhalten, hat unser Partner Wallarm die Initiative ergriﬀen und eine API Honeypot Architektur aufgebaut. Honeypots sind kein neues Konzept. Sie werden schon lange eingesetzt um wertvolle Informationen über Angreifer und Angriﬀsmuster zu erlangen. Zudem dienen sie als Frühwarnsystem, insbesondere in grossen Unternehmen. Bei API Honeypots klaﬀte bisher jedoch eine Lücke - diese Lücke hat Wallarm mit ihrer Distributed API Honeypot Architektur nun geschlossen.

API Honeypot Architektur

Um an wertvolle Daten zu gelangen, hat Wallarm eine Schein-API (“mock API”) in Golang geschrieben und sie mit self-signed Zertiﬁkaten ausgestattet. Die Honeypot-Umgebung ist darauf ausgelegt, alle eingehenden Anfragen inklusive deren kompletten Request-Body zu loggen - auf allen möglichen Ports. Um möglichst echt zu wirken, antwortet die API mit validen Responses, je nach Art des Requests, beispielsweise REST oder GraphQL. Die Honeypots wurden ohne Domain Names, nur mit einer IP-Adresse versehen, an 14 Standorten rund um den Globus verteilt veröﬀentlicht.

Ergebnisse

Die Untersuchungen haben bereits 20 Tage nach Inbetriebnahme erstaunliche und überraschende Ergebnisse geliefert. Wir fassen die wichtigsten Punkte hier zusammen.

Dauer bis zur Entdeckung.

Erschreckend schnell werden neu veröﬀentlichte APIs entdeckt (“Time to Discovery”). Nach durchschnittlich nur 29 Sekunden wird eine frisch veröﬀentlichte API gefunden.

Insbesondere neue APIs sind oftmals schlechter geschützt, da die Entwickler und Projektteams davon ausgehen, dass sie für längere Zeit unbekannt bleiben. Die Zeit, die für diese Metrik gemessen wurde, war ab der Öﬀnung des Ports bis zum ersten API Request zu einem beliebigen Endpunkt (abgesehen von “/”).

Noch beeindruckender ist der Fakt, dass die Zeit für die schnellste Entdeckung einer API 16 Sekunden und die langsamste 38 Sekunden betrug. Zusammengefasst: bis eine neu veröﬀentlichte API entdeckt wird, d.h. den ersten API call erhält, vergeht weniger als eine Minute.

Meist genutzte Ports.

Zusätzlich zur Time to Discovery hat Wallarm auch die Ports, die angefragt wurden, ausgewertet. Die Forscher gingen davon aus, dass insbesondere Port 80 von Scannern und Angreifern als gefundenes Fressen angesehen wird - und sie wurden nicht enttäuscht. 19% aller Resultate gehen auf das Konto des standard HTTP-Ports. Gefolgt, mit einigem Abstand, von Port 26657 (RPC) mit 4% und 443 (HTTPS) mit 3%.

Auch wenn die ersten fünf Plätze in der Liste an die “üblichen Verdächtigen” gehen (Platz 4: 8080, Platz 5: 8443), sind die weiteren Ports weniger oﬀensichtlich. Hier ﬁnden sich der unverschlüsselte Docker REST API Port (2375) wie auch der Port für CWMP REST-based Router (7547, wir erinnern uns an das Mirai Botnet aus dem Jahr 2016, das oﬀenbar in Varianten weiterhin aktiv ist) - also beispielsweise DSL-Router. Auch der Standardport für MSSQL (1433) taucht in der Top 20 Liste auf.

Meist genutzte API Endpoints.

Je gewöhnlicher eine API aufgebaut ist, umso schneller wird sie entdeckt. Diese Erkenntnis stammt aus einer weiteren erfassten Metrik - den am häuﬁgsten angefragten Endpoints.

Besonders beliebt sind “/status” und “/v2/_catalog” - letzterer ist bekannt als Endpoint der Docker Registry.

Alles in allem hat der Honeypot innerhalb der ersten Tage 337 einzigartige API Requests registriert. Die 50 Top API Anfragen hat Wallarm folgenden Attack-Typen zuordnen können:

Auth Check: 26 %
Discovery: 34 %
CVE: 40 %

Wie schnell können Daten abgezogen werden?

Ein weiteres Element, das im API Honeypot Report ausgewertet wird, ist die Frage, wie schnell Angreifer Daten abziehen können und welche Auswirkungen dies auf die abgefragten APIs hat. Die Antworten erstaunen.

Wallarm schätzt anhand der Muster des API-Missbrauchs, dass ein Angreifer bereits mit einer kleinen Cloud-Infrastruktur (Kostenbereich 50-150 US $ pro Monat) sehr schnell grosse Mengen an Benutzerdaten abziehen kann und dabei viel weniger Bandbreite benötigt, als das beispielsweise von DoS-Attacken bekannt ist. Dies macht die Entdeckung von Betrugsversuchen wesentlich schwieriger, da ein wichtiger Indikator für einen Angriﬀ wegfällt. Kombiniert mit der Geschwindigkeit, mit der ein Datenverlust einhergeht, entsteht grosses Gefahrenpotenzial.

Unser Partner geht davon aus, dass für den Diebstahl von 10 Millionen Benutzerdaten bei einer Bandbreite von 20 Mbit/s mit einem Single-request Angriﬀ 66 Sekunden benötigt werden. Mit Hilfe von API-Batching kann diese Zeit bei gleicher Bandbreite auf 6 Sekunden reduziert werden.

Zusammenfassung

Abschliessend lässt sich sagen, dass der Schutz von APIs immer wichtiger wird. APIs sind inzwischen häuﬁger Ziel von Angriﬀen als klassische Webanwendungen. Beachtlich ist vor allem, wie schnell neu veröﬀentlichte APIs entdeckt und angegriﬀen werden. Die Herangehensweise, dass eine API nicht gefährdet ist, solange sie nur über eine IP-Adresse erreichbar ist, ist nicht mehr haltbar.

Nur die Ports 80 und 443 zu schützen reicht nicht aus, da APIs auf vielen verschiedenen Ports verfügbar sein können. Da die Anzahl an API extrem wächst und das Ausnutzen von Schwachstellen in APIs Datendiebstahl rapide beschleunigen kann, sollte das Thema API Security in ihrem Unternehmen priorisiert werden.

Was ist ein Honeypot?

Ein Honeypot ist ein Sicherheitswerkzeug in der Informatik, der gezielt als Köder für Angreifer dient. Dabei handelt es sich um ein IT-System, das absichtlich Schwachstellen simuliert, um Angriffe anzuziehen und das Verhalten der Angreifer zu analysieren. Die "Honigfalle" dient in der IT-Sicherheit dazu, einen Angreifer in die Falle zu locken, ohne echte Systeme oder Daten zu gefährden.

Wie funktioniert ein Honeypot?

Honeypots imitieren reale IT-Systeme wie Server, Netzwerk, Systeme oder Datenbanken und bieten scheinbar attraktive Angriffsziele für Angreifer. Ihr Zweck ist es, als attraktive Falle für Cyberkriminelle zu dienen - quasi wie der Honigtopf als Köder für einen Schwarm Bienen. Diese Systeme sind isoliert und überwachen alle Aktivitäten, um Informationen über Angriffsmethoden und Schwachstellen sowie ausgenutzte Sicherheitslücken zu sammeln. Ziel is es, das Angreiferverhalten zu verstehen und Sicherheitsmassnahmen zu verbessern.

Dabei werden verschiedene Arten von (Forschungs-)Honeypots unterschieden, die in der Praxis von Sicherheitsteams in Unternehmen oder von Forschungseinrichtungen eingesetzt werden. Nachfolgend der Versuch einer Definition. Zusätzlich zu den genannten verschiedenen Arten von Honeypots gibt es noch weitere Technologien bzw. Honeypot-Systeme, wie Spam Honeypots, E-Mail Traps oder Malware Honeypots.

Arten von Honeypots

Server-Honeypots

Client-Honeypots

Low-Interaction Honeypots

High-Interaction Honeypots

Fazit

Honeypots sind ein vielseitiges Werkzeug in der IT-Sicherheit. Ob als einfache Low-Interaction zur Früherkennung von Bedrohungen oder als komplexe High-Interaction Honeypots für detaillierte Analysen. Sie bieten wertvolle Einblicke in das Verhalten von Angreifern und helfen dabei Schwachstellen aufzudecken und gezielte Sicherheitsmassnahmen zu entwickeln.

Somit helfen sie aktiv im Kampf gegen Cyberkriminelle, Hacker und Cyberangriffe und erhöhen somit allgemein die Cybersicherheit. Insbesondere in der Sicherheitsforschung sind die Vorteile von Honeypots nicht von der Hand zu weisen und ihr Beitrag zur Entwicklung wirksamer Cybersicherheitsstrategien immens.