Home Innovatie & Strategie API discovery – een naald in een hooiberg vinden, terwijl je weet...

API discovery – een naald in een hooiberg vinden, terwijl je weet niet dat er een naald in zit

91

Het besturingssysteem zorgt dat een computer draait, maar het zijn de applicaties die het eigenlijke werk doen. Veel van deze applicaties zijn afhankelijk van API’s: Application Programming Interfaces. API’s spelen een vitale rol in onze geautomatiseerde en onderling verbonden wereld omdat applicaties hiermee met elkaar kunnen praten en data en functionaliteit met elkaar kunnen delen. API’s zijn in feite een toegangspoort tot alle belangrijke data die door de applicatie is opgeslagen.

API’s kunnen intern of extern toegankelijk zijn, of openbaar zijn en vereenvoudigen de ontwikkeling en innovatie van software. Ze maken interactieve websites mogelijk, zoals vergelijkingssites voor het boeken van reizen, route apps die ook tankstations of flitspalen tonen en natuurlijk belangrijke zakelijke SaaS-applicaties zoals apps voor klantrelatiebeheer die integreren met email. Kortom, API’s zijn geweldig!

Welkom in de fantastische wereld van API’s! O, wacht…

In een ideale wereld zou iedere IT-professional weten hoe ze elke API in hun IT omgeving goed moeten beheren. Daarnaast zouden ze weten welke data toegankelijk zijn via API’s, de opdrachten die zijn geactiveerd, welke developers bij de API’s kunnen en zouden ze kennis hebben van security en authenticatiebeheer, om ervoor te zorgen dat de API’s en de data daarachter veilig zijn.

Helaas leven we niet in zo’n ideale wereld. Veel bedrijven hebben geen idee welk deel van hun IT-infrastructuur mogelijk data publiceert via API’s. IT-omgevingen zijn vaak een samenraapsel van verouderde, on-premises en nieuwe, cloudgebaseerde systemen, die allemaal functioneren dankzij en bij elkaar worden gehouden door een web van interne en externe applicaties. Het is bijna onmogelijk om een duidelijk overzicht te krijgen van deze applicaties en de bijbehorende API’s. En wat je niet kan zien, kan je ook niet beschermen.

De API-ijsberg

Er bestaan drie API-categorieën, met elk een eigen zichtbaarheids- en risicoprofiel. De eerste categorie omvat alle zichtbare, bekende API’s. Deze API’s zijn misschien nog niet helemaal veilig, maar ze worden wel beheerd en tot op zekere hoogte beveiligd. Daarnaast kunnen deze API’s geïnspecteerd en beveiligd worden met securitymaatregelen zoals web application firewalls en Zero Trust toegang, omdat bekend is waar ze zich bevinden.

De tweede categorie omvat alle ‘Shadow’ API’s – API’s die je niet kent omdat je niet weet dat de applicaties waarin ze zitten deel uitmaken van de IT-infrastructuur. En de derde en meest risicovolle API’s zijn de zogenoemde ‘Zombie’ of ‘Legacy’ API’s. Deze zijn te vinden in oudere, inactieve of afgeschreven applicaties. Deze API’s zijn waarschijnlijk geactiveerd toen de applicatie voor het eerst werd ingezet en zijn daarna nooit afgesloten of goed beveiligd. Onveilige of ontoereikende authenticatiemaatregelen kunnen eenvoudig door aanvallers worden misbruikt om bijvoorbeeld commando’s naar de applicatie te sturen en zo data weg te sluizen.

Misbruik maken van API’s

Terwijl er steeds meer API’s bij blijven komen, verwacht Gartner dat in 2025 minder dan 50% van alle enterprise-API’s beheerd zullen worden. Dit suggereert ook dat minder dan de helft van de API’s bekend en beveiligd zal zijn. Als je daarbij optelt dat API’s een toegangspoort zijn tot enorme hoeveelheden gevoelige data en zelfs tot het netwerk daarbuiten, dan is duidelijk wat een breed, onbeveiligd aanvalsoppervlak API’s bieden.

Recente voorbeelden van cyberaanvallen waarbij onbeveiligde API’s werden misbruikt en de gegevens van miljoenen mensen werden blootgesteld zijn de T-mobile API-hack (37 miljoen getroffen klanten), de Optus-aanval in Australië (tot 10 miljoen getroffen klanten) en het Twitter API-beveiligingslek (data van meer dan vijf miljoen gebruikers blootgesteld).

API’s vinden

Het is moeilijk en tijdrovend om bekende en onbekende API’s op te sporen. Gelukkig zijn er oplossingen om dit sneller en eenvoudiger te maken. Bijvoorbeeld met een web application firewall die het dataverkeer inspecteert. Hiermee kunnen organisaties verborgen en onbekende API’s vinden door uitgaand en binnenkomend dataverkeer tussen applicaties ‘live’ te analyseren. Hierbij wordt machine learning gebruikt om bekende, deels bekende en onbekende API’s te vinden. Bedrijven kunnen vervolgens beslissen hoe en welke applicaties ze willen beveiligen en zo het risico te beperken.

API’s beveiligen

Het toenemende aantal API’s en hun directe toegang tot waardevolle data maakt ze een ideaal doelwit voor aanvallers. Dit risico zal alleen maar toenemen naarmate er meer API-gebaseerde applicaties bijkomen. Uit onderzoek van Barracuda blijkt dat iets minder dan twee derde (63%) van de IT-professionals zich zorgen maakt over security bij het inrichten van API’s. Daarnaast blijkt dat 44% zich zorgen maakt omdat ze niet weten waar alle API’s ingezet of gebruikt worden.

De belangrijkste stap in het beveiligen van API-gebaseerde applicaties is zichtbaarheid – van alle API’s in het netwerk en endpoints, ongeacht of deze intern of extern, actief of inactief zijn. Een web application security oplossing met machine learning API-detectie is ideaal om Zombie- en Shadow API’s te lokaliseren en te beveiligen.

Daarnaast is volledig inzicht in al het applicatieverkeer een vereiste. Log elk verzoek dat aan API’s wordt gedaan. Hierdoor kan je snel verdachte commando’s of patronen in het dataverkeer ontdekken en problemen oplossen, zoals een denial-of-service (DoS) aanval of aanvallers die een ‘download alle data’-commando proberen te versturen.

Stel robuuste toegangscontroles in voor API-gebaseerde applicaties om API-toegang te beperken tot geautoriseerde gebruikers. En tot slot, integreer zo vroeg mogelijk securitytools in de application software development cycle.

Stefan van der Wal, consulting solutions engineer, application security bij Barracuda

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in