Onderzoek van API-security bedrijf Traceable en Ponemon Institute wijst uit dat API-security nog niet de aandacht krijgt die het verdient. Terwijl de dreigingen alleen maar toenemen, laten organisaties hun API’s veelal niet testen of kwetsbaarheden.
Traceable waarschuwt voor de dreiging die API-gebruik met zich meedraagt. Ze vergroten het aanvalsoppervlak voor cybercrime aanzienlijk, mede omdat ze in veel gevallen het verkeer regelen tussen cruciale diensten en gevoelige data.
Aan het onderzoek deden wereldwijd 1600 cybersecurity-professionals mee. Binnen de EMEA-regio (Europa, Afrika en het Midden-Oosten) waren er 938 deelnemers. Daar gaf 59 procent toe dat API’s van groot belang zijn voor de digitale initiatieven van hun organisatie. Niet al te gek, aangezien een enterprise-bedrijf zelfs meer dan 10.000 ervan heeft draaien tussen alle cloud-omgevingen, on-prem en externe diensten. De organisaties die meededen aan het onderzoek houden gemiddeld 1.044 API’s bij.
Tip: OWASP stipt de 10 grootste API-gevaren aan
Ondanks deze prominente aanwezigheid gaf 43 procent toe dat API-security niet de prioriteit krijgt. Bij het huidige tekort aan security-expertise moeten er soms harde keuzes gemaakt worden, waarbij API’s dus in veel gevallen kind van de rekening blijkt te zijn. In veel gevallen weten organisaties niet eens hoeveel data er heen en weer gaat tussen het bedrijfsnetwerk en externe bronnen via API’s. Zo wordt het detecteren van data-exfiltratie nagenoeg onmogelijk.
Veel datalekken
60 procent van de ondervraagde professionals heeft ten minste één API-aanval meegemaakt. Echter is het vaak moeilijk om dit gevaar überhaupt te kunnen inzien: een kwaadwillende kan overkomen als een doodgewone gebruiker en ongewenste aanvragen doen die moeilijk te detecteren zijn. Wie sowieso al niet controleert op kwetsbaarheden, vliegt wat dat betreft blind. Slechts 39 procent van de API’s die in gebruik zijn, worden echter regelmatig getest. Daardoor denken organisaties maar 26 procent van alle aanvallen te kunnen voorkomen en 20 procent ervan te kunnen detecteren en inperken.
Deze aanvallen zijn in veel gevallen wel relatief voorspelbaar of simplistisch: DDoS (38 procent) en aanvallen met bekende signatures (30 procent) voeren de lijst aan. Wel wijst dit erop dat kwaadwillenden klaarblijkelijk vrij eenvoudige tactieken voldoende achten. De gevolgen liegen er niet om: bedrijven die slachtoffer werden van een API-aanval zagen de waarde van hun merknaam schade oplopen (52 procent), draaiden financiële verliezen (51 procent) of werden bestolen van intellectueel eigendom (50 procent).
Het volledige rapport is hier te downloaden.
Beluister ook onze podcast over API-security:
1 dag geleden
