API’s worden steeds vaker misbruikt om organisaties aan te vallen. Klanten van Salt Security zagen in het afgelopen kwartaal twee keer zoveel kwaadaardig API-verkeer als vorig jaar.

Salt Security ontwikkelt een API security-platform. Klanten ontvangen een overzicht van alle API’s in hun omgeving. Verdacht netwerkverkeer en misconfiguraties komen aan het licht. Het platform groeit als kool. Salt Security werd in 2016 opgericht en is inmiddels 1,4 miljard dollar waard.

De groei heeft meerdere redenen. Klanten waarderen het platform, maar je hebt meer dan een goed product nodig om op dit tempo te groeien. Het belang van API security neemt toe. Salt Security schat dat API-verkeer met verloop van 2021 wereldwijd verdriedubbelde. Elke API is een potentieel risico. De organisatie lost een snelgroeiend probleem op.

Salt Security publiceert twee keer per jaar een rapport over de staat van API security. De nieuwste editie wijst uit dat de trend aanhoudt. In het afgelopen kwartaal zagen klanten van Salt Security 117 procent meer API-aanvalsverkeer dan vorig jaar. Een op de drie klanten kreeg te maken met 100 API-aanvalspogingen per maand. Acht procent zag meer dan 1000 aanvallen per maand.

API security

Je hebt meerdere maatregelen nodig om de API’s van een omgeving te beveiligen. Uiteindelijk wil je ervoor zorgen dat API’s geen gevoelige informatie aan ongemachtigde applicaties of gebruikers doorgeven. Daarnaast is het belangrijk dat API’s niet naar kwaadaardige calls luisteren.

Gateways en web application firewalls (WAF’s) maken het al jaren mogelijk om verdacht verkeer te herkennen en blokkeren. Dat lost een deel van het probleem op, maar de bron blijft intact. Gateways en WAF’s hebben geen idee hoe een API in elkaar steekt. Bedrijven blijven zich onbewust van kwetsbare configuraties, terwijl een groot deel van de risico’s in configuraties ontstaat.

Het platform van Salt Security herkent riskante configuraties. Dat vinden gebruikers net zo belangrijk als verdacht verkeer. De organisatie vroeg klanten naar de eigenschap die zij het belangrijkste vinden in een API security-platform. 41 gaf aan dat een platform aanvallen moet stoppen. 40 procent zei dat een platform moet herkennen welke API’s gevoelige data blootleggen. 22 procent liet weten dat een platform moet helpen bij pentesting tijdens de ontwikkeling van API’s.

Tip: API’s zijn onmisbaar, maar ook een securityrisico