Het gebruik van API's is de laatste jaren geëvolueerd, vooral met de komst van smartphone applicaties en de automatisering van processen waarbij meerdere applicaties betrokken zijn. De nieuwe toepassingen brengen nieuwe kwetsbaarheden met zich mee die in de OWASP top 10 gewijd aan API's staan.
Met dit in het achterhoofd voorspelt Gartner dat tegen 2022 aanvallen op de application programming interface (API) de meest voorkomende aanvalsvector zullen worden.
API's zijn een cruciaal onderdeel van digitale transformatie en bedrijfsactiviteiten
Volgens Akamai is API verkeer goed voor meer dan 80% van de web transacties op het Internet. Alle moderne enterprise netwerken vertrouwen op API's om verbinding te maken en met elkaar te praten (REST API, gRPC en meer recent GraphQL).
De context van digitale transformatie met DevOps organisaties en microservices leidt in het algemeen tot een fenomeen van schaduwapplicaties. Ze worden online gezet zonder de goedkeuring van de CISO en de IT afdeling, voor legitiem maar gevaarlijk zakelijk gebruik. API's zijn geen uitzondering op dit verschijnsel en het is moeilijk om alle API's in je bedrijf te kennen.
We onderscheiden 3 soorten API gebruik:
- Open APIs: dit zijn interfaces die publiekelijk op het web verspreid worden. Ze maken interactie met de openbare toepassing mogelijk.
- Semi-open APIs: deze staan open voor een beperkt aantal partners.
- Gesloten APIs: deze zijn bedoeld voor intern gebruik door het bedrijf. Deze toepassingen brengen heel verschillende veiligheidsbeperkingen met zich mee.
API gateways en API management oplossingen zijn essentieel voor het structureren van een API-first aanpak
De bedrijfsprocessen in organisaties maken meestal gebruik van een reeks verschillende applicaties om te functioneren. De digitale transformatie van een bedrijf vereist de automatisering van zijn bedrijfsprocessen om hun betrouwbaarheid en efficiëntie te verbeteren. Deze automatisering vereist de onderlinge verbinding van verschillende hulpmiddelen en dus het gebruik van API's.
Voor API beveiliging onderscheiden we 2 soorten oplossingen:
- API gateways: De gateways worden geïnstalleerd aan het eind van de verkeersstroom van de te beveiligen API's. Hun functie is de toegang tot de API's te controleren (met name authenticatie) en het verkeer te beheersen (bandbreedte beperken, IP adressen filteren).
- API beheer: ze maken het beheer en de controle van operaties met betrekking tot API's mogelijk. Deze platforms omvatten meestal een dienstenportaal voor ontwikkelaars en applicatiebeheerders. Ze werken niet rechtstreeks in op het verkeer dat voor de API bestemd is, maar op de API zelf. Deze platforms zullen toelaten dat API's in productie een versienummer krijgen en worden gepubliceerd. Ze zullen de definities en schema's analyseren om te controleren of ze voldoen aan de best practice en het beleid van het bedrijf (bijvoorbeeld de blootstelling van gebruikers van een databank). Ze zullen ook uitgebreide documentatie van de API mogelijk maken.
WAF's zijn soms gebruikt als API gateways, maar de taal van API's (REST, SOAP, gRPC, GraphQL) is anders dan die van web-applicaties (HTML, javascript), zodat de analyse-engines verschillend zijn. De capaciteit van een WAF is daarom zeer beperkt in termen van analyse van API stromen.
API's zijn gekoppeld aan specifieke beveiligingsproblemen
Wanneer we een inventarisatie van bestaande API's in bedrijven uitvoeren, zijn de resultaten meestal heel anders dan de inventaris die we hebben. Het vermogen om alle in de omgevingen aanwezige API's te identificeren is vrij gering zonder het gebruik van een specifiek hulpmiddel dat ook de "schaduw" of "zombie" API's opspoort.
Ontwikkelteams staan onder verhoogde druk om sneller nieuwe versies af te leveren en aan de bedrijfsbehoeften te voldoen. Ze zijn dus geneigd zich van bepaalde beveiligingsgerelateerde processen te bevrijden.
API's worden immers in meerdere omgevingen ingezet, in public clouds of datacenters, en er bestaan silo's tussen de teams die er verantwoordelijk voor zijn.
Als onderdeel van zijn engagementen en platform inzet identificeert Noname Security gewoonlijk 30% van de "onbekende" API's. Die zijn buiten de standaardprocessen om geïmplementeerd, worden niet door de API gateways van de organisatie geleid, of zijn verouderd maar niet buiten gebruik gesteld.
Traditionele beveiligingsoplossingen, zoals API gateways en WAFs, bieden beveiligingsmogelijkheden, zoals hierboven besproken, maar zijn in hun analyse beperkt door hun gebrek aan inzicht in de context en logica van transacties. WAFs analyseren gewoonlijk pakketten op een eenzijdige manier en leggen niet noodzakelijk het verband tussen een verzoek en een antwoord. Bovendien kunnen deze oplossingen uiteraard geen API's afdekken omdat ze die niet routeren.
Organisaties moeten het probleem van de API beveiliging op een alomvattende manier aanpakken
Volgens Noname Security zijn er drie strategische elementen waarmee in dit verband rekening moet worden gehouden:
1. Beoordeling van de beveiligingshouding van API's
Volledige inventarisatie van de API's van de organisatie en tracering, identificatie en opsporing van blootgestelde gegevens, analyse van routing en exposure, identificatie van misconfiguraties op het niveau van de schakelonderdelen.
2. Detectie en response
Bouwen en gebruiken van gedragsmodellen om run-time dreigingsanalyse, waarschuwingen en herstelmogelijkheden uit te voeren.
3. Doorlopend actief testen
API's moeten deel uitmaken van een shift-left aanpak van DevOps waarbij bedrijven proactief nieuwe API's en releases op een geautomatiseerde manier testen voordat ze in productie worden genomen.
API-security voor jouw organisatie
Het is belangrijk dat je de problemen in verband met de beveiliging van API's begrijpt, en dat je een strategie hebt en de juiste hulpmiddelen om ze aan te pakken, waaronder procesautomatisering en doorlopend actief testen.
Nomios biedt uitgebreide API-security oplossingen die API management, krachtige API gateways, en geavanceerde beveiligingscontroles omvatten, wat operationele efficiëntie oplevert. Ongeacht je architectuur, wij hebben de juiste oplossing om de snelheid en veiligheid te leveren die je toepassingen vereisen.
Onze security experts staan voor je klaar
Ons team is beschikbaar voor een gesprek of videovergadering. Neem contact op om jouw beveiligingsuitdagingen te bespreken, aanbieders te vergelijken of om van gedachten te wisselen over jouw komende IT-projecten. Wij zijn er om jou te helpen.