API’s zorgen voor de meerderheid van het internetverkeer en cybercriminelen profiteren hiervan

Cyberbeveiliging
API's zorgen voor de meerderheid van het internetverkeer en cybercriminelen profiteren hiervan

Application Programming Interfaces (API’s) vormen het bindweefsel achter de digitale modernisering en helpen applicaties en databases gegevens effectiever uit te wisselen. Uit het rapport ‘State of API Security in 2024’ van Imperva, een bedrijf van Thales, blijkt dat het merendeel van het internetverkeer (71%) in 2023 bestond uit API-oproepen. Bovendien zag een typische bedrijfssite in 2023 gemiddeld 1,5 miljard API-aanroepen.

Het grote volume aan internetverkeer dat via API’s loopt, zou voor elke beveiligingsprofessional een bron van zorg moeten zijn. Ondanks inspanningen om shift-left-frameworks en SDLC-processen te implementeren, worden API’s vaak nog steeds in productie genomen voordat ze worden gecatalogiseerd, geverifieerd of gecontroleerd. Gemiddeld hebben organisaties 613 API-eindpunten in productie, maar dat aantal groeit snel naarmate de druk toeneemt om digitale diensten sneller en efficiënter aan klanten te leveren. Na verloop van tijd kunnen deze API’s risicovolle, kwetsbare eindpunten worden.

In hun rapport concludeert Imperva dat API’s nu een veelgebruikte aanvalsvector voor cybercriminelen zijn, omdat ze een directe manier zijn om toegang te krijgen tot gevoelige gegevens. Uit een onderzoek van het Marsh McLennan Cyber ​​Risk Analytics Center blijkt zelfs dat API-gerelateerde beveiligingsincidenten mondiale bedrijven maar liefst 75 miljard dollar per jaar kosten.

Meer API-oproepen, meer problemen

Het bankwezen en de online detailhandel rapporteerden in 2023 de hoogste volumes API-oproepen vergeleken met welke andere sector dan ook. Beide sectoren vertrouwen op grote API-ecosystemen om digitale diensten aan hun klanten te leveren. Het is dan ook geen verrassing dat financiële diensten, waaronder het bankwezen, in 2023 het belangrijkste doelwit waren van API-gerelateerde aanvallen.

Cybercriminelen gebruiken verschillende methoden om API-eindpunten aan te vallen, maar een veel voorkomende aanvalsvector is Account Takeover (ATO). Deze aanval vindt plaats wanneer cybercriminelen kwetsbaarheden in de authenticatieprocessen van een API misbruiken om ongeautoriseerde toegang tot accounts te verkrijgen. In 2023 was bijna de helft (45,8%) van alle ATO-aanvallen gericht op API-eindpunten. Deze pogingen worden vaak uitgevoerd door automatisering in de vorm van slechte bots, softwareagenten die geautomatiseerde taken uitvoeren met kwade bedoelingen. Wanneer deze aanvallen succesvol zijn, kunnen ze klanten de toegang tot hun accounts ontzeggen, criminelen van gevoelige gegevens voorzien, bijdragen aan omzetverlies en het risico op niet-naleving vergroten. Gezien de waarde van de gegevens die banken en andere financiële instellingen voor hun klanten beheren, is ATO een zorgwekkend bedrijfsrisico.

Waarom verkeerd beheerde API’s een beveiligingsbedreiging vormen

Het beperken van API-beveiligingsrisico’s is een unieke uitdaging die zelfs de meest geavanceerde beveiligingsteams frustreert. Het probleem komt voort uit het snelle tempo van de softwareontwikkeling en het gebrek aan volwassen tools en processen om ontwikkelaars en beveiligingsteams te helpen beter samen te werken. Als gevolg hiervan is bijna één op de tien API’s kwetsbaar voor aanvallen, omdat deze niet correct zijn verouderd, niet worden gecontroleerd of onvoldoende verificatiecontroles hebben.

In hun rapport identificeerde Imperva drie veel voorkomende soorten slecht beheerde API-eindpunten die beveiligingsrisico’s voor organisaties creëren: schaduw-, verouderde en niet-geverifieerde API’s.

  • Schaduw-API’s: Ook bekend als ongedocumenteerde of niet-ontdekte API’s. Dit zijn API’s die niet onder toezicht staan, vergeten worden en/of buiten de zichtbaarheid van het beveiligingsteam vallen. Imperva schat dat schaduw-API’s 4,7% uitmaken van de verzameling actieve API’s van elke organisatie. Deze eindpunten worden om verschillende redenen geïntroduceerd: van het doel van het testen van software tot het gebruik als connector tot een service van derden. Er ontstaan ​​problemen wanneer deze API-eindpunten niet correct worden gecatalogiseerd of beheerd. Bedrijven moeten zich zorgen maken over schaduw-API’s, omdat deze doorgaans toegang hebben tot gevoelige informatie, maar niemand weet waar ze bestaan ​​of waarmee ze verbonden zijn. Eén enkele schaduw-API kan leiden tot een overtreding van de regelgeving en een boete van de regelgeving, of erger nog, een gemotiveerde cybercrimineel zal deze misbruiken om toegang te krijgen tot de gevoelige gegevens van een organisatie.
  • Verouderde API’s: Het afschaffen van een API-eindpunt is een natuurlijke voortgang in de softwarelevenscyclus. Als gevolg hiervan is de aanwezigheid van verouderde API’s niet ongewoon, omdat software in een snel, continu tempo wordt bijgewerkt. Imperva schat zelfs dat verouderde API’s gemiddeld 2,6% uitmaken van de verzameling actieve API’s van een organisatie. Wanneer het eindpunt wordt beëindigd, worden de services die dergelijke eindpunten ondersteunen bijgewerkt en zou een aanvraag aan het beëindigde eindpunt moeten mislukken. Als services echter niet worden bijgewerkt en de API niet wordt verwijderd, wordt het eindpunt kwetsbaar omdat het niet over de noodzakelijke patches en software-updates beschikt.
  • Niet-geverifieerde API’s: Vaak worden niet-geverifieerde API’s geïntroduceerd als gevolg van verkeerde configuratie, onoplettendheid door een overhaast releaseproces of de versoepeling van een rigide authenticatieproces om oudere versies van software mogelijk te maken. Deze API’s vormen gemiddeld 3,4% van de verzameling actieve API’s van een organisatie. Het bestaan ​​van niet-geauthenticeerde API’s vormt een aanzienlijk risico voor organisaties, omdat gevoelige gegevens of functionaliteit kunnen worden blootgesteld aan ongeautoriseerde gebruikers en kan leiden tot datalekken of systeemmanipulatie.

Om de verschillende beveiligingsrisico’s die door verkeerd beheerde API’s worden geïntroduceerd te beperken, wordt aanbevolen om regelmatig audits uit te voeren om niet-gecontroleerde of niet-geverifieerde API-eindpunten te identificeren. Continue monitoring kan helpen bij het detecteren van pogingen om kwetsbaarheden in verband met deze eindpunten te misbruiken. Bovendien moeten ontwikkelaars API’s regelmatig updaten en upgraden om ervoor te zorgen dat verouderde eindpunten worden vervangen door veiligere alternatieven.

Hoe u uw API’s kunt beschermen

Imperva biedt verschillende aanbevelingen om organisaties te helpen hun API-beveiligingspositie te verbeteren:

  1. Ontdek, classificeer en inventariseer alle API’s, eindpunten, parameters en payloads. Gebruik continue detectie om een ​​altijd up-to-date API-inventaris bij te houden en de blootstelling van gevoelige gegevens openbaar te maken.
  2. Identificeer en bescherm gevoelige en risicovolle API’s. Voer risicobeoordelingen uit die specifiek gericht zijn op API-eindpunten die kwetsbaar zijn voor verbroken autorisatie en authenticatie, evenals overmatige gegevensblootstelling.
  3. Zet een robuust monitoringsysteem op voor API-eindpunten om verdacht gedrag en toegangspatronen actief te detecteren en analyseren.
  4. Kies voor een API-beveiligingsaanpak die Web Application Firewall (WAF), API Protection, Distributed Denial of Service (DDoS)-preventie en Bot Protection integreert. Een uitgebreide reeks risicobeperkingsopties biedt flexibiliteit en geavanceerde bescherming tegen steeds geavanceerdere API-bedreigingen, zoals bedrijfslogica-aanvallen, die bijzonder lastig te verdedigen zijn omdat ze uniek zijn voor elke API.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google sluit Pinterest-rivaal ‘Keen’, een Area 120-project, af

De Apple iPhone 17 krijgt mogelijk een anti-reflecterend display, in navolging van Samsung

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]