API’s vormen de basis voor de huidige digitale services en gemoderniseerde applicaties. Van het boeken van een ride-sharing service tot het beheren van bankrekeningen en het plaatsen van een online bestelling. Al deze gemakken vereisen API’s om het delen van gegevens te vergemakkelijken. Gezien steeds meer mensen gebruik maken van online toegang en diensten, groeit het API-gebruik sneller dan ooit. Echter zien de onderzoekers van Salt Labs dat ook het API-aanvalsverkeer het afgelopen jaar met maar liefst 681% groeide.
Veel zakelijke bedrijven, waaronder Parler, Experian, Facebook en Peloton, hebben dan ook te maken gehad met API-inbreuken. API-aanvallen kunnen het vertrouwen van klanten verminderen, inkomstenderving veroorzaken en de reputatie van een bedrijf onherroepelijk schaden. Ondanks al deze inbreuken blijven API’s nog steeds slecht beschermd. Volgens het onderzoek van Salt Labs heeft meer dan een derde van de organisaties geen API-beveiligingsstrategie. Organisaties kunnen de kans op een incident verkleinen als ze begrijpen welke misvattingen er zijn over API-security. Hieronder volgen enkele van deze veelvoorkomende misvattingen.
Misvatting #1: API-gateways en WAF’s beschermen API’s
Web Application Firewalls (WAF’s) en API-gateways spelen een belangrijke rol in de beveiligingsstack van een organisatie. WAF’s helpen bij de brede detectie van exploits voor web applicatie traffic, en API-gateways bieden een zichtbaarheid in het gebruik van API’s en de mogelijkheid om toegangscontrole af te dwingen.
Beide oplossingen schieten echter tekort in het leveren van de zichtbaarheid en beveiligingscontroles die nodig zijn om API’s te beschermen. API-gateways en WAF’s zijn immers afhankelijk van signatures en regels voor het detecteren van aanvallen, waardoor ze geen API-specifieke problemen kunnen identificeren, zoals autorisatie misbruik. API-gateways en WAF’s zijn bovendien afhankelijk van proxying. Echter vertragen proxymodellen de API-communicatie, waardoor organisaties het zicht op hoe API’s worden gebruikt verliezen.
Misvatting #2: ontwikkelaars bouwen beveiliging AI binnen API’s
‘Shift-left’ is een concept dat ervoor zorgt dat beveiligingsprocessen eerder in de ontwerp- en ontwikkelingsfasen worden doorgevoerd. De waarde ligt in het sneller detecteren en oplossen van beveiligingsproblemen voordat ze naar productie gaan.
Hoewel sommige bekende kwetsbaarheden of zwakke punten kunnen worden geïdentificeerd door beveiligingsanalyse- en testtools, kunnen veel soorten beveiligingsproblemen niet worden gedetecteerd als onderdeel van geautomatiseerde ontwerp-, ontwikkelings- en buildscans. Een effectieve API-beveiligingsstrategie vereist dat sommige controles buiten de code om worden uitgevoerd. Voor het detecteren van de meeste fouten en API-misbruik is er gedragsanalyse nodig tijdens runtime. API-ontwikkelingsteams kunnen de ontdekte inzichten vervolgens gebruiken om API’s te versterken en deze beschermen tegen API-aanvalspatronen.
Misvatting #3: Cloud Service Providers bieden API-beveiliging
Sommige Cloud providers bieden tools zoals API-beheer en API-gateways. Echter bieden deze tools niet het beschermingsniveau dat bedrijven nodig hebben voor API’s. Met beperkte API-beveiligingsmogelijkheden op de applicatie- en API-laag, zijn API’s onvoldoende beschermd als u alleen vertrouwt op tools van Cloud providers.
API’s de sleutel van uw digitale voordeur
De manier waarop bedrijven in het verleden een handvol API’s konden beschermen, werkt niet als u tientallen of honderden API’s bouwt. Nu 95% van de organisaties te maken krijgt met API-security incidenten, is het noodzakelijk om over moderne security oplossingen te beschikken die de mogelijkheid hebben om uitgebreide context te bieden in API-gedrag. Indien dit niet gebeurt, geeft u in feiten de sleutel van uw digitale voordeur en is de kans groot dat cybercriminelen toegang krijgen via uw API’s.
Kom meer te weten over de laatste API security trends via: https://salt.security/api-security-trends?
Sunil Dutt, Channel Sales director EMEA & APAC bij Salt Security
