Ein vierteljährlicher Bericht, veröffentlicht von der integrierten App- und Sicherheitsplattform Wallarm schenkt detaillierte Aufmerksamkeit einem wenig diskutierten, aber kritischen Sicherheitsproblem für Fintechs – ihren APIs. Die Berichte werden aus öffentlich zugänglichen Quellen erstellt.
Wallarm-Mitbegründer und CEO Iwan Nowikow Sein Ziel bei den Berichten bestehe darin, das Ausmaß der Bedrohungen einzuschätzen und sie in sinnvolle Abschnitte einzuteilen. Dies hilft CISOs und Cybersicherheitsmanagern, die Gefahren einzuschätzen und aufzubauen Risikomodelle. Das Wallarm-Team analysiert vierteljährlich jeden verfügbaren Vorfall, kombiniert ihn mit zusätzlichen Informationen und reichert ihn an.
Novikov sagte, dass Focus Echtzeitanalysen mit besseren Erkenntnissen erzeuge als andere Berichte, die weniger häufig veröffentlicht würden. Außerdem werden einige neue Bedrohungsgruppen identifiziert, die wahrscheinlich auf die zunehmende Nutzung von APIs zurückzuführen sind.
API-Lecks stellen eine neue Bedrohung dar
Injektionen waren mit Abstand das Top-Thema im Quartal. Ihre 59 bekannten Vorkommnisse machen 25 % der 239 verfolgten Aktionen aus. Injektionen treten auf, wenn jemand gefährliche API-Befehle über ein Benutzereingabefeld sendet. An zweiter Stelle stehen Authentifizierungsfehler mit 37. Hierbei handelt es sich um Fehler bei der Identitätsprüfung. Siteübergreifende Probleme liegen mit 30 an dritter Stelle.
API-Lecks machen mehr als 10 % der Vorfälle aus. Sie haben Netflix, Open-Source-Softwareanbieter und Unternehmen für Unternehmenssoftware getroffen. Novikov sagte, API-Lecks seien ein kürzlich entdecktes Problem.
Es gibt zwei Arten von APIs, von denen eine speziell Fintechs betrifft: offene APIs für Banking. Novikov sagte, Institutionen seien an zwei Dingen interessiert: Erstens sei es wichtig, zu verfolgen, wohin ihre Finanzdaten wandern. Dazu gehören personenbezogene Daten und interne Bankkontoinformationen. Sie müssen wissen, ob es irgendwo abgezweigt wird, wo es nicht hingehört.
„Wenn Sie bemerken, dass die internen Bankkontonummern als Routing-Nummer verknüpft sind, können (Kriminelle) viele Dinge tun“, sagte Novikov. „Sie können völlig unterschiedliche Betrugsschemata anwenden. Wenn Sie sich an die Filme mit James Bond erinnern, sagen sie: ‚Ich kenne Ihre Kontonummer in der Schweiz‘, dann ist es genau dasselbe.“
Bei diesen Datenstücken könnte es sich um privaten Zugriff handeln, der mit Ihrer API kommuniziert. Dabei könnte es sich um Zertifikate handeln, die Sie einer Partnerbank ausgestellt haben und die kompromittiert wurden. Jede Partei, mit der Sie einen Schlüssel teilen, ist dafür verantwortlich, aber Sie sind für die offenen Daten verantwortlich.
Während Banken über viele Möglichkeiten verfügen, sich zu schützen, wenn Passwörter und Anmeldeinformationen kompromittiert werden, haben APIs laut Novikov einen Schlüssel, und das ist alles. Eine Bank akzeptiert es und Sie sind Partner.
„Deshalb entwickeln wir Lösungen zur Lösung dieses Problems, denn das Problem ist riesig.“
Die alternde Infrastruktur verschärft das Problem
Das Alter vieler Bank-APIs erhöht die Herausforderung zusätzlich. Bei älteren ist es schwieriger herauszufinden, wer den Schlüssel definiert hat. Es steht irgendwo im Code. Novikov hat Beispiele in COBOL aus dem Jahr 1998 gesehen.
„Es befindet sich irgendwo im Code und Sie können es von dort extrahieren“, sagte Novikov. „Es ist ein fest codierter Schlüssel, den jemand dort hineingesteckt hat. Verbinden Sie sich mit XML, und schon kann es losgehen. Und jetzt fügen wir noch ein schickes API-Gateway hinzu und nennen es Open Banking. Es ist offen, aber es ist offen aus einer anderen Perspektive. Es ist sehr, sehr durchlöchert.“
Überwachen Sie Ihre Partner
Angesichts des erheblichen Risikos ist es die Aufgabe der Finanzinstitute, sicherzustellen, dass sie ihren Partnern vertrauen können. Novikov sagte, es gebe mehr Komfort für Banken, da sie Standards definieren könnten, denen ihre Datenanbieter folgen müssen.
Für Fintechs ist es etwas lockerer. Novikov ermutigt sie, ihre Standards zu setzen. Geben Sie einen Schlüssel an einen Fintech-Vermittler weiter, und dieser ist dafür verantwortlich.
„Als Fintech sind sie nicht wie eine Bank reguliert“, sagte Novikov. „Das sollten sie selbst tun. In diesem Fall verlassen sie sich auf (Banken) und sollten sich auf sich selbst verlassen. Das ist ein großes Problem, denn wenn ich meine Robinhood mit meiner Bank verbinden möchte, habe ich keine andere Möglichkeit.“
Da es keinen Industriestandard gibt, können Fintechs entscheiden, wie viel Sicherheit sie einsetzen möchten. Und wenn Ihr gesamtes Unternehmen auf APIs hinausläuft, sollte diese Sicherheit besser sein.
Vice President, Marketing Girish Bhat sagte, Wallarm baue eine Cloud-native Plattform, die auch vor Ort genutzt werden kann. Es kann Angriffe nahezu in Echtzeit erkennen. Durch die Zusammenarbeit mit den anderen Tools in einem Fintech-Ökosystem kann es Reparaturempfehlungen und Abhilfemöglichkeiten bieten.
„Es finden Milliarden von API-Aufrufen statt“, sagte Bhat. „Wir können das in Echtzeit analysieren und die proaktive Fähigkeit bereitstellen, sie zu entschärfen.“
Schwache Anmeldeinformationen und Kryptografieprobleme sind ein überraschender Neuzugang auf der Liste der Top-10-Probleme. Novikov sagte, dass viele Firmen Standard- und Standardschlüssel verwenden.
„Es ist jedem klar, dass man keine Standard- oder Standardschlüssel verwenden sollte, aber es kommt immer noch häufiger vor“, sagte er. „Leider können wir uns als Branche aus irgendeinem Grund immer noch nicht davon lösen.“
Wie ChatGPT zur Entwicklung des AAA-Systems von Wallarm beigetragen hat
Wallarm nutzte ChatGPT, um Bedrohungen in ein AAA-System (Authentifizierung, Autorisierung und Zugriffskontrolle) einzuordnen. Die Authentifizierung ist die erste Verteidigungslinie. Durch die Isolierung kann Wallarm sich auf Schwachstellen konzentrieren, die gezielt Authentifizierungslücken ausnutzen.
Wenn die Autorisierung von der Authentifizierung getrennt wird, hilft es zu erkennen, wenn Systeme unnötige Berechtigungen gewähren. Die Zugriffskontrolle berücksichtigt Faktoren wie Gerät, IP-Adresse und Tageszeit. Es hilft dabei, Mängel in den Durchsetzungsmechanismen auszumachen.
„Wir können die Bank-APIs oder Banking-Apps darauf ausrichten, gezielt zu prüfen, ob ein Manager etwas tun kann, das über die Designprivilegien hinausgeht“, sagte Novikov. „Und wir sehen bei Unternehmensanwendungen, dass es schwierig ist, Sicherheitskontrollen, Scanner und alles, was sie haben, zu umgehen.
„Allerdings kann man bei der Zugangskontrolle relativ leicht Fehler machen, da die Zugangskontrolle oft nur verwaltet wird; Es ist kein Teil des Codes. Dadurch können wir nicht nur das Kontrollkästchen anklicken, während wir einige Compliance-Apps oder APIs ausführen und prüfen. Eine schlechte Zugangskontrolle ist anders – Sie müssen sie separat prüfen.“
