Home Security API-security: een groeiende uitdaging voor organisaties

API-security: een groeiende uitdaging voor organisaties

Barracuda Networks -
19

De application programming interface (API) is in de afgelopen jaren steeds populairder geworden en dat is terug te zien aan het aantal API-verzoeken dat wordt ontvangen door applicatieservers. Uit het 2023 State of API-report van Postman blijkt dat er inmiddels 121 miljoen verzamelingen zijn aangemaakt voor het API-ecosysteem. Ook waren er 1,29 miljard nieuwe GET-requests in de 12 maanden voorafgaand aan mei 2023. Naarmate de wereld steeds meer richting ‘API-first’ ontwikkeling gaat, groeit echter ook het besef dat er veel nieuwe uitdagingen zijn rond de security van webservers, om API’s te beschermen tegen langdurige dreigingen (advanced persistent threats; APT’s).

Uitdagingen bij API-security

Bij het ontwikkelen van applicaties voegen programmeurs vaak API’s toe, of ze updaten of verwijderen ze. Daarom vinden beheerders het vaak moeilijk om bij de voortdurend evoluerende sets van API’s van een organisatie de juiste security rules in te stellen en te onderhouden. De meeste de API’s worden gebouwd voor integratie met bijvoorbeeld partners of met andere interne applicaties. Vaak heeft security daarbij geen prioriteit, waarmee het risico ontstaat dat de security van deze API’s wordt verwaarloosd. Een ander feit is dat 97% van de applicatiebeheerders wel bewust is van de noodzaak om de API-security te verbeteren, maar dat dit niet te realiseren is vanwege een gebrek aan inzicht in de API-endpoints en -structuur.

Dit zijn enkele van de grootste uitdagingen waar beheerders van webapplicaties voor staan bij het uitrollen en beveiligen van API’s:

  • Een sterke toename van het API-verkeer – het 2023 state of the API-report laat zien dat het aantal API-requests drastisch toeneemt.
  • Gebrek aan bewustzijn en documentatie van publieke en private API endpoints – naarmate bedrijven steeds meer richting ‘API first’-ontwikkeling gaan, worden er meer nieuwe API endpoints gecreëerd en worden oude overbodig. Vaak zonder dat beheerders dit weten. Met weinig tot geen informatie over deze API’s, is het voor beheerders een uitdaging om webservers te configureren/herconfigureren voor optimale security, waardoor er veel zwakheden in de security blijven bestaan.
  • Het gebruik van interne API’s – onderzoek van Barracuda wijst uit dat meer dan 25% van de API’s ontworpen zijn voor alleen intern gebruik. Bij de bouw van API’s voor intern gebruik is er vaak minder aandacht voor security en in veel gevallen worden API’s door het ontwikkelteam ‘verstopt’ achter webapplicaties. Dit betekent dat applicatiebeheerders er niet van op de hoogte zijn dat dit soort API’s van buitenaf toegankelijk zijn. Het gevolg is dat er gaten ontstaan in de security en dat het aanvalsoppervlak groeit – helemaal als applicaties toegankelijk zijn via internet of wanneer er geen mogelijkheden die voorkomen dat aanvallers zich lateraal door de organisatie bewegen.
  • Identificatie van shadow- of zombie-API’s – voor testdoeleinden moet er vaak een aantal API’s geïmplementeerd worden. Vervolgens worden ze vergeten en zijn ze niet beveiligd. Het tracken van dataverkeer bij dit soort API’s is erg moeilijk vanwege de beperkte gelimiteerde hoeveelheid data die binnenkomt bij deze test-API’s. Verder komt het vaak voor dat applicatieontwikkelaars en -beheerders kleine veranderingen missen, waardoor de security rules niet altijd up-to-date zijn. Uit onderzoek van Barracuda blijkt dat bijna 37% toegeeft te weinig kennis te hebben van de API-standaarden te hebben. Als aanvallers deze endpoints kunnen identificeren, kunnen zij de API misbruiken en ernstige schade veroorzaken op de applicatie server en vervolgens gegevens stelen.
  • Identificatie van alle beschikbare API-endpoints en -structuren – zonder real-time analyse van het dataverkeer is het erg makkelijk om API-endpoints te missen die toegankelijk via een server. Dat geldt ook voor de structuur van de individuele parameters die door een API worden verwacht. Zonder volledige kennis van deze zaken kan je nooit zeker zijn van de security die een endpoint of parameter nodig heeft, wat kan leiden tot een zwakke securityconfiguratie.
  • De API’s/parameters die het meest worden aangevallen – sommige API’s, zoals login API’s, worden vaker aangevallen dan andere. Gebruikersnaam- en wachtwoordvelden zijn normaal gesproken gevoeliger voor een aanval dan andere parameters. Maar zonder exacte informatie over alle velden, het aantal query’s, formaten, etc., wordt het voor beheerders een grote uitdaging om API’s op een veilige manier in te zetten.

De werkdruk voor IT-teams wordt hoger doordat het aantal dreigingen meegroeit met het aantal API’s. Naast de toename in het aantal API’s, krijgen bedrijven steeds meer te maken met geavanceerde cyberaanvallen via andere aanvalsvectoren. Daar komt het groeiende tekort aan cybersecurityexperts nog bij. Dit maakt het moeilijk en kostbaar voor bedrijven om interne IT-teams aan te nemen om het bedrijf goed te beschermen. Om ze hierin te ondersteunen, is het belangrijk om alle API’s – ook oude en test-API’s – goed te documenteren en alle wijzigingen nauwkeurig bij te houden. Daarnaast kunnen API-discovery tools helpen bij het ontdekken van alle API’s die bedrijfstoepassingen bieden, door het monitoren en analyseren en API-dataverkeer.

Stefan van der Wal, Consultant Solutions Architect, Barracuda

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in