Het gebruik van API’s neemt steeds meer toe, maar vormt daardoor ook een steeds groter beheer- en beveiligingsrisico.
Dat concludeert onderzoek van Cloudflare. Volgens de onderzoekers is het gebruik van API’s in 2023 weer toegenomen. Ongeveer 57 procent van het wereldwijde dynamische internetverkeer werd afgelopen jaar gegenereerd door API’s.
Deze stijging van het API-verkeer heeft echter tot gevolg dat er meer beheer- en beveiligingsproblemen ontstaan. Vooral omdat er meer API-endpoints zijn dan bedrijven zelf in het onderzoek opgaven.
Via het toepassen van hun eigen ML-algoritmen ontdekten de onderzoekers dat er maar liefst 30,7 procent meer API-endpoints waren dan opgegeven. Deze ‘Shadow API’s’ worden vaak gebruikt door ontwikkelaars of individuele eindgebruikers om bepaalde zakelijke toepassingen te laten draaien.
Deze ‘wilde’ API’s zijn moeilijk te beheren en vormen een groot beveiligingsrisico. Hiermee kunnen onbekende gevaren makkelijk de bedrijfsomgevingen binnensluipen en daardoor data blootstellen, niet-gepatchte kwetsbaarheden introduceren, problemen met data compliance genereren, laterale bewegingen en andere bedreigingen mogelijk maken.
Aanbevelingen
In hun rapport doen de onderzoekers daarom een aantal aanbevelingen, onder meer in de vorm van best practices, die het gebruik van API’s veiliger moeten maken. Belangrijk hierbij is dat bedrijven voor API’s een complete strategie hebben die applicatieontwikkeling, zichtbaarheid, prestaties en beveiliging omvat. Bijvoorbeeld met behulp van een connectiviteitscloudomgeving die in een enkel intelligent platform zaken als netwerkverbindingen, cloudomgevingen, applicaties en gebruikers met elkaar verbindt.
Belangrijke onderdelen hiervan zouden onder andere een duidelijke inventaris van API’s, moderne authenticatie- en autorisatieprocessen en endpointbeheer moeten zijn. Dit voor het monitoren van meetgegevens als latency, fouten en de omvang van responses.
Positief securitymodel
Ook moet een ‘positief’ securitymodel worden geïmplementeerd, vooral door het gebruik van een API-gateway. Meer specifiek moet dit model werken door via een ‘API schema’ alleen geverifieerd en bekend gedrag en identiteiten toe te staan en de rest van het verkeer te weigeren. Ook moet ML worden toegepast voor het ontdekken van aanvalsvarianten en onderscheid maken tussen legitiem gebruikersverkeer en mogelijk kwaadaardig (bot) verkeer van en naar API’s.
Tip: API-security wordt langzaam maar zeker volwassen, ook binnen organisaties
22 uur geleden
