De Application Programming Interface (API) is een onbezongen held van de digitale revolutie. Het biedt de lijm die diverse softwarecomponenten aan elkaar plakt om nieuwe gebruikerservaringen te creëren. Maar door een direct pad naar back-enddatabases te bieden, zijn API's ook een aantrekkelijk doelwit voor dreigingsactoren. Het helpt niet dat ze de afgelopen jaren in aantal zijn geëxplodeerd, waardoor veel implementaties ongedocumenteerd en onbeveiligd verlopen.

Think een recente studie, heeft 94% van de wereldwijde organisaties het afgelopen jaar te maken gehad met API-beveiligingsproblemen tijdens de productie, waarbij bijna een vijfde (17%) te maken had met een API-gerelateerde inbreuk. Het is tijd om zichtbaarheid en controle te krijgen over deze digitale bouwstenen.

Hoe erg zijn API-bedreigingen?

API's zijn de sleutel tot de samenstelbare onderneming: een Gartner-concept waarin organisaties worden aangemoedigd om hun applicaties op te splitsen in verpakte zakelijke mogelijkheden (PBC's). Het idee is dat het op verschillende manieren assembleren van deze kleinere componenten ondernemingen in staat stelt om behendiger en sneller te bewegen, waardoor nieuwe functionaliteit en ervaringen worden gecreëerd als antwoord op de snel evoluerende zakelijke behoeften. API's zijn een cruciaal onderdeel van PBC's waarvan het gebruik de laatste tijd enorm is toegenomen door de toegenomen acceptatie van microservices-architecturen.

Bijna alle (97%) wereldwijde IT-leiders daarom nu mee eens dat het succesvol uitvoeren van een API-strategie essentieel is voor toekomstige omzet en groei. Maar in toenemende mate is het enorme aantal API's en hun distributie over meerdere architecturen en teams een bron van zorg. Er kunnen tien- of zelfs honderdduizenden klant- en partnergerichte API's zijn in een grote onderneming. Zelfs middelgrote organisaties kunnen er duizenden hebben.

Wat is de impact op bedrijven?

De bedreigingen zijn ook verre van theoretisch. Alleen al dit jaar hebben we gezien:

• T-Mobile USA geeft toe dat 37 miljoen klanten toegang hadden tot hun persoonlijke en accountgegevens door een kwaadwillende actor via een API
• Verkeerd geconfigureerde open autorisatie (OAuth) implementaties op Booking.com die ernstige aanvallen op het overnemen van gebruikersaccounts op de site mogelijk had kunnen maken

Niet alleen de bedrijfsreputatie en het bedrijfsresultaat lopen gevaar door API-bedreigingen. Ze kunnen ook belangrijke zakelijke projecten tegenhouden. Meer dan de helft (59%) van de organisaties claimt  dat ze de uitrol van nieuwe apps hebben moeten vertragen vanwege bezorgdheid over de API-beveiliging. Dat is een deel van de reden waarom het nu een gespreksonderwerp op C-niveau is voor de helft van de besturen.

Top drie API-risico's

Er zijn tientallen manieren waarop hackers een API kunnen misbruiken, maar OWASP is de bron bij uitstek voor diegenen die inzicht willen krijgen in de grootste bedreigingen voor hun organisatie. Zijn OWASP API Security Top 10 2023 lijst beschrijft de volgende drie belangrijkste beveiligingsrisico's:

1. Autorisatie op gebroken objectniveau (BOLA): API kan niet verifiëren of een aanvrager toegang moet hebben tot een object. Dit kan leiden tot diefstal, wijziging of verwijdering van gegevens. Aanvallers hoeven zich er alleen van bewust te zijn dat het probleem bestaat - er zijn geen code-hacks of gestolen wachtwoorden nodig om BOLA te misbruiken.
2. Gebroken authenticatie: Ontbrekende en/of verkeerd geïmplementeerde authenticatiebeveiligingen. API-authenticatie kan "complex en verwarrend" zijn voor veel ontwikkelaars, die misvattingen kunnen hebben over hoe ze het moeten implementeren, waarschuwt OWASP. Het authenticatiemechanisme zelf wordt ook aan iedereen blootgesteld, waardoor het een aantrekkelijk doelwit wordt. API-eindpunten die verantwoordelijk zijn voor authenticatie moeten anders worden behandeld dan andere, met verbeterde bescherming. En elk gebruikt authenticatiemechanisme moet geschikt zijn voor de relevante aanvalsvector.
3. Autorisatie op eigendomsniveau voor gebroken objecten (BOPLA): Aanvallers kunnen de waarden van objecteigenschappen lezen of wijzigen waar ze geen toegang toe hebben. API-eindpunten zijn kwetsbaar als ze de eigenschappen van een object blootleggen die als gevoelig worden beschouwd ("buitensporige gegevensblootstelling"); of als ze een gebruiker toestaan ​​de waarde van de eigenschap van een gevoelig object te wijzigen, toe te voegen of te verwijderen ("massale toewijzing"). Ongeoorloofde toegang kan leiden tot openbaarmaking van gegevens aan onbevoegde partijen, gegevensverlies of gegevensmanipulatie.

Het is ook belangrijk om te onthouden dat deze kwetsbaarheden elkaar niet uitsluiten. Enkele van de ergste datalekken op basis van API's zijn veroorzaakt door een combinatie van exploits zoals BOLA en overmatige blootstelling aan gegevens.

API-bedreigingen beperken

Gezien wat er op het spel staat, is het essentieel dat u vanaf het begin beveiliging inbouwt in elke API-strategie. Dat betekent dat u begrijpt waar al uw API's zijn en dat u tools en technieken in lagen moet aanbrengen om eindpuntauthenticatie te beheren, netwerkcommunicatie te beveiligen, veelvoorkomende bugs te verminderen en de dreiging van slechte bots aan te pakken.

Hier zijn een paar plaatsen om te beginnen:

• Verbeter API-governance door een API-gericht app-ontwikkelingsmodel te volgen waarmee u zichtbaarheid en controle krijgt. Door dit te doen, verplaatst u de beveiliging naar links om controles vroeg in de levenscyclus van softwareontwikkeling toe te passen en deze te automatiseren in de CI/CD-pijplijn
• Gebruik API-ontdekkingstools om het aantal schaduw-API's dat zich al in de organisatie bevindt te elimineren en te begrijpen waar API's zijn en of ze kwetsbaarheden bevatten
• Implementeer een API-gateway die klantverzoeken accepteert en deze doorstuurt naar de juiste backend-services. Deze beheertool helpt u bij het verifiëren, controleren, bewaken en beveiligen van API-verkeer
• Een webapplicatie-firewall (WAF) toevoegen om de beveiliging van uw gateway te verbeteren door kwaadaardig verkeer, waaronder DDoS en pogingen tot misbruik, te blokkeren
• Versleutel alle gegevens (dwz via TLS) reizen via API's, zodat het niet kan worden onderschept in man-in-the-middle-aanvallen
• Gebruik OAuth voor het beheren van API-toegang naar bronnen zoals websites zonder gebruikersreferenties vrij te geven
• Pas snelheidsbeperking toe om te beperken hoe vaak uw API kan worden aangeroepen. Dit vermindert de dreiging van DDoS-aanvallen en andere ongewenste pieken
• Gebruik een monitoringtool om alle beveiligingsgebeurtenissen te loggen en verdachte activiteiten te markeren
• Overweeg een zero trust-benadering wat stelt dat geen enkele gebruiker, bedrijfsmiddelen of middelen binnen de perimeter te vertrouwen zijn. In plaats daarvan moet u voor elke handeling een bewijs van authenticatie en autorisatie vragen

Digitale transformatie is de brandstof voor duurzame groei voor de moderne onderneming. Dat plaatst API's centraal in elk nieuw ontwikkelingsproject. Ze moeten nauwgezet worden gedocumenteerd, ontwikkeld met 'secure-by-design'-principes en in productie worden beschermd met een meerlagige aanpak.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/