Steeds vaker zien we dat developers API’s (Application Programming Interface) toepassen. APIs maken verbindingen tussen applicaties, databases en apparaten mogelijk. Simpel gezegd, ze zorgen voor transacties, verifiëren klanten en hun aankopen, genereren informatie en ondersteunen organisaties in het onderhouden van hun zakelijke relaties. Daarnaast vrijwaren ze organisaties van alle ingewikkelde processen achter de schermen en ruimen ze niet relevante informatie op. Geen wonder dat bedrijven als Facebook, Thuisbezorgd en SkyScanner, gebruik maken van API’s.

Door de snelle toename van nieuwe aanvalsvormen en technologieën is de beveiliging van API’s onder security experts een belangrijk punt van zorg geworden. De reden dat API aanvallen lastiger te controleren zijn is dat ze opereren op basis van een reeks gerelateerde events. Traditionele oplossingen bekijken events één voor één, waardoor ze vaak niet in staat zijn om alle API dreigingen te detecteren of te blokkeren. Zo hebben al veel grote ondernemingen, zoals Experian en Peloton, te maken gehad met API inbreuken.

Volgens Gartner zullen API aanvallen de meest voorkomende aanvalsvorm worden. Aangenomen wordt dat ongeveer 40% van de webgebaseerde apps API aanvallen zal moeten weerstaan, in tegenstelling tot traditionele interface aanvallen. Bovendien beschikt meer dan een derde van de organisaties niet over een API security strategie volgens onderzoek van Salt Labs.

API’s beschermen

Om API aanvallen te voorkomen hebben CISO's een oplossing nodig die automatisch inzicht geeft in al het API verkeer. Systemen, applicaties en API's en de data waarmee zij communiceren omvatten meerdere omgevingen. Als organisaties geen zicht hebben op hun API's, kunt deze niet worden beveiligd en zullen ze niet begrijpen welke API’s mogelijk gevoelige gegevens blootgeven.

Het is daarom belangrijk dat organisaties een nauwkeurige baseline inventaris opstellen, zodat ze API’s eenvoudig en direct kunnen bijwerken en in staat zijn om blinde vlekken onmiddellijk te elimineren. Daarnaast heb je een voortdurende en dynamische analyse in runtime nodig. Op deze manier kun je de baseline in de gaten houden en misbruik of aanvallen beter identificeren. Omdat API's geen gewone code zijn waarmee je tijdens het ontwikkelen en testen op zoek kunt gaan naar fouten in de code, moeten security specialisten API’s eerst in actie zien om fouten te ontdekken. Het zien van patronen in runtime, terwijl API's worden uitgeoefend, biedt organisaties de meeste context als ze kwaadaardige activiteiten willen identificeren. Een ander belangrijk element om API’s te beveiligen is het hebben van inzicht in kwetsbaarheden. Hierdoor kunnen ontwikkelaars risico's identificeren, waardoor ze betere API's kunnen schrijven.

Om de exponentiële groei van API's te ondersteunen, hebben CISO's ook oplossingen nodig die inzichten en risico’s automatisch koppelen aan CI/CD- en Incident Response systemen. Oplossingen voor API security moeten grote hoeveelheden gegevens gedurende lange tijd kunnen verwerken om de context te ontwikkelen die nodig is om aanvalsverkeer te onderscheiden van normaal verkeer. Dit niveau van rijke context is niet te bereiken met on-prem, VM-gebaseerde oplossingen. Alleen cloud-scale big data, gecombineerd met Artificial Intelligence (AI) en Machine Learning (ML), biedt de mogelijkheid om miljoenen gebruikers gedurende dagen, weken of maanden parallel te volgen.

Kortom, API's zijn de zwakste schakel in IT-systemen geworden. Zonder API-beveiliging kunnen CISO's de waarde van digitale en IT-moderniseringsinitiatieven niet maximaliseren. CISO's moeten zich bewust zijn van deze dreigingen en proactief actie ondernemen. Door een speciaal API-security programma te implementeren, kunnen CISO's de organisatie helpen digitale innovatie te versnellen en een security gerichte cultuur opbouwen zodat het bedrijf zich kan richten op groei.