Managed hosting door True
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

API’s zijn de sleutel van uw digitale voordeur

 

API's vormen de basis voor de huidige digitale services en gemoderniseerde applicaties. Van het boeken van een ride-sharing service tot het beheren van bankrekeningen en het plaatsen van een online bestelling. Al deze gemakken vereisen API's om het delen van gegevens te vergemakkelijken. Gezien steeds meer mensen gebruik maken van online toegang en diensten, groeit het API-gebruik sneller dan ooit. Echter zien de onderzoekers van Salt Labs dat ook het API-aanvalsverkeer het afgelopen jaar met maar liefst 681% groeide.

Veel zakelijke bedrijven, waaronder Parler, Experian, Facebook en Peloton, hebben dan ook te maken gehad met API-inbreuken. API-aanvallen kunnen het vertrouwen van klanten verminderen, inkomstenderving veroorzaken en de reputatie van een bedrijf onherroepelijk schaden. Ondanks al deze inbreuken blijven API’s nog steeds slecht beschermd. Volgens het onderzoek van Salt Labs heeft meer dan een derde van de organisaties geen API-beveiligingsstrategie. Organisaties kunnen de kans op een incident verkleinen als ze begrijpen welke misvattingen er zijn over API-security. Hieronder volgen enkele van deze veelvoorkomende misvattingen.

Misvatting #1: API-gateways en WAF's beschermen API's

Web Application Firewalls (WAF's) en API-gateways spelen een belangrijke rol in de beveiligingsstack van een organisatie. WAF's helpen bij de brede detectie van exploits voor web applicatie traffic, en API-gateways bieden een zichtbaarheid in het gebruik van API’s en de mogelijkheid om toegangscontrole af te dwingen.

Beide oplossingen schieten echter tekort in het leveren van de zichtbaarheid en beveiligingscontroles die nodig zijn om API's te beschermen. API-gateways en WAF's zijn immers afhankelijk van signatures en regels voor het detecteren van aanvallen, waardoor ze geen API-specifieke problemen kunnen identificeren, zoals autorisatie misbruik. API-gateways en WAF's zijn bovendien afhankelijk van proxying. Echter vertragen proxymodellen de API-communicatie, waardoor organisaties het zicht op hoe API's worden gebruikt verliezen.

Misvatting #2: ontwikkelaars bouwen beveiliging AI binnen API's

‘Shift-left’ is een concept dat ervoor zorgt dat beveiligingsprocessen eerder in de ontwerp- en ontwikkelingsfasen worden doorgevoerd. De waarde ligt in het sneller detecteren en oplossen van beveiligingsproblemen voordat ze naar productie gaan.

Hoewel sommige bekende kwetsbaarheden of zwakke punten kunnen worden geïdentificeerd door beveiligingsanalyse- en testtools, kunnen veel soorten beveiligingsproblemen niet worden gedetecteerd als onderdeel van geautomatiseerde ontwerp-, ontwikkelings- en buildscans. Een effectieve API-beveiligingsstrategie vereist dat sommige controles buiten de code om worden uitgevoerd. Voor het detecteren van de meeste fouten en API-misbruik is er gedragsanalyse nodig tijdens runtime. API-ontwikkelingsteams kunnen de ontdekte inzichten vervolgens gebruiken om API's te versterken en deze beschermen tegen API-aanvalspatronen.

Misvatting #3: Cloud Service Providers bieden API-beveiliging

Sommige Cloud providers bieden tools zoals API-beheer en API-gateways. Echter bieden deze tools niet het beschermingsniveau dat bedrijven nodig hebben voor API's. Met beperkte API-beveiligingsmogelijkheden op de applicatie- en API-laag, zijn API's onvoldoende beschermd als u alleen vertrouwt op tools van Cloud providers.

API’s de sleutel van uw digitale voordeur 

De manier waarop bedrijven in het verleden een handvol API's konden beschermen, werkt niet als u tientallen of honderden API's bouwt. Nu 95% van de organisaties te maken krijgt met API-security incidenten, is het noodzakelijk om over moderne security oplossingen te beschikken die de mogelijkheid hebben om uitgebreide context te bieden in API-gedrag. Indien dit niet gebeurt, geeft u in feiten de sleutel van uw digitale voordeur en is de kans groot dat cybercriminelen toegang krijgen via uw API’s. 

Kom meer te weten over de laatste API security trends via: https://salt.security/api-security-trends

Sunil Dutt, Channel Sales director EMEA & APAC bij Salt Security

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7412610). © Jaarbeurs IT Media.

?

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.