Kwaadaardig API-verkeer in een jaar tijd verdubbeld

07-08-2022 | door: Wouter Hoeffnagel
Deel dit artikel:

Kwaadaardig API-verkeer in een jaar tijd verdubbeld

94% van de organisaties had het afgelopen jaar security problemen tijdens de ontwikkeling van API's. Maar liefst 20% van de organisaties ondervond zelfs een datalek vanwege onveilige API's. Kwaadaardig API-verkeer is in de afgelopen twaalf maanden verdubbeld.

Dit blijkt uit het Salt Labs State of API Security Rapport, Q3 2022 van Salty Security, gespecialiseerd in API-security. Klanten van het bedrijf zagen een toename van 117% in hun API-aanvalsverkeer, terwijl hun totale API-verkeer met 168% groeide. Dit benadrukt de aanhoudende explosie van enterprise-API's. Het kwaadaardige API-verkeer nam 2,1% van het totale verkeer voor zijn rekening. De pogingen tot API-aanvallen verschoven het afgelopen jaar van gemiddeld 12,22 miljoen kwaadaardige incidenten per maand, naar gemiddeld 26,46 miljoen incidenten. Maar liefst 44% van de Salt klanten krijgt iedere maand gemiddeld 11 tot 100 aanvalspogingen, 34% ontvangt meer dan 100 pogingen per maand en 8% ziet meer dan 1000 aanvallen.

Afhankelijkheid van API's groeit

Het ontwikkelen van een API-beveiligingsstrategie is van cruciaal belang, aangezien 61% van de respondenten nu meer dan 100 API's beheert. Als belangrijke bedrijfsonderdelen afhankelijk zijn van API's, kunnen bedrijven geen vertragingen of downtime oplopen. Toch geeft meer dan de helft van de respondenten aan dat de uitrol van nieuwe applicaties vertraging opliep vanwege zorgen over de security van hun API’s.

"Digitalisering heeft ervoor gezorgd dat organisaties steeds meer afhankelijk zijn van API's om nieuwe diensten te leveren en beter te kunnen concurreren. Deze focus op digitale innovatie heeft organisaties ook een interessant doelwit gemaakt voor cybercriminelen," aldus Roey Eliyahu, medeoprichter en CEO van Salt Security: "API-aanvallen nemen bovendien ieder jaar toe, waardoor het ons niet verbaast dat beveiliging de belangrijkste prioriteit is bij API-strategieën. De uitkomsten van het rapport tonen ook de noodzaak aan voor een robuustere API-beveiligingsstrategie.”

Op de vraag wat het ‘belangrijkste kenmerk’ moet zijn bij een API-beveiligingsplatform, gaf 41% aan dat een platform met name aanvallen moet stoppen. De mogelijkheid om te identificeren welke API's PII of gevoelige data blootleggen, kwam op de tweede plaats (40%). Het voldoen aan regelgeving kwam op de derde plaats (39%). Het toepassen van shift-left testen kwam onderaan de lijst, slechts 22% van de respondenten vindt dit zeer belangrijk.

Shift-left strategieën zorgen voor risico’s

Organisaties die alleen shift-left testen toepassen blijven hun API's blootstellen. Maar liefst 94% van de respondenten, die alleen tijdens het testen op zoek ging naar API-problemen, heeft nog steeds te maken met API-security incidenten. Dit wijst erop dat organisaties zich meer moeten richten op runtime bescherming. In het rapport zegt slechts 30% van de respondenten dat ze API-incidenten tijdens runtime identificeren en verhelpen. Maar om volledig te beschermen wat al draait in hun omgevingen, hebben organisaties runtimebeveiligingscapaciteiten nodig.

Meer dan de helft van de respondenten (54%) gaf aan dat ze bij uitrol van nieuwe applicaties vertraging hebben opgelopen vanwege hun zorgen over de API-security. Slecht API-design en security practices liggen vaak aan de basis van gevoelige PII datalekken. Bijna een derde van de respondenten geeft toe dat ze het afgelopen jaar te maken hebben gehad met blootstelling aan gevoelige gegevens of een privacy incident binnen hun API-productie. Dit is een forse stijging ten opzichte van de 19% van vorig jaar. Binnen het klantenbestand van Salt heeft 91% van de API's enkele PII of gevoelige gegevens blootgelegd. Organisaties moeten dan ook volgens Salt hoe en waar data worden verzonden, zodat ze hun API's kunnen beschermen.

Zombie API’s

De respondenten gaven verder aan dat het niet genoeg investeren in pre-production security (20%) en het niet adequaat aanpakken van runtimebeveiliging (18%) hun grootste zorgen waren bij hun API-strategie. Toen er werd gevraagd naar de meest relevante API-security risico's, gaf 42% aan dat verouderde of 'zombie API’s’ hun grootste zorg zijn. Account takeovers (15%) en onbedoelde blootstelling van gevoelige informatie (15%) waren de op één na grootste zorgen. De zorgen over ‘shadow API’s’, oftewel onbekende API's, zijn de afgelopen zes maanden gestegen van 5% naar 11%.

82% gelooft dat hun bestaande tools erg effectief zijn in het voorkomen van API-aanvallen.
Net als in eerdere onderzoeken vertrouwen respondenten dat ze voornamelijk op traditionele tools om API's te beheren en te beschermen tegen applicatie aanvallen. De meeste respondenten vertrouwen op API-gateways (54%) en WAF's (44%) om aanvallen te identificeren. De gaps van traditionele tools wordt onderstreept door de respondenten. Maar liefst 82% gelooft niet dat hun bestaande tools erg effectief zijn in het voorkomen van API-aanvallen.

API-beveiligingsstrategie ontbreekt vaak

De meerderheid van de respondenten (61%) gaf toe dat ze geen of slechts een basis API-beveiligingsstrategie hebben. Dit is een punt van zorg gezien organisaties steeds meer afhankelijk zijn van API’s. Ondanks dat alle respondenten API's in productie hebben, geeft slechts een klein percentage (9%) aan dat ze een geavanceerde API-strategie hebben die speciale API-tests en -bescherming omvat. De belangrijkste redenen voor het ontbreken van een robuuste API-strategie zijn budget (24%), expertise (20%), middelen (19%) en tijd (11%).

De overige bevindingen uit het State of API Security Rapport zijn:

  • 91% van de API's die binnen het klantenbestand van Salt draaien, stellen PII of gevoelige gegevens bloot;
  • API-wijzigingen nemen toe - 11% van de respondenten werkt hun API's dagelijks bij, 31% doet dit wekelijks en 24% minder vaak dan iedere maand;
  • Ongeveer de helft van de respondenten (55%) zegt dat hun beveiligingsteam de OWASP API Security Top 10 controleert. Dit is een daling van 61% vergeleken met zes maanden geleden;
  • 86% van de respondenten heeft geen vertrouwen dat hun API-inventaris compleet is, en 14% geeft toe niet op de hoogte te zijn van welke API's PII blootleggen
  • 64% van de respondenten zegt dat API-security zorgt voor een betere samenwerking tussen DevOps en security teams

Het State of API Security Rapport is ontwikkeld op basis van een enquête onder professionals en empirische data van de Salt Security Cloud Service. Voor het onderzoek zijn meer dan 350 IT-professionals ondervraagd. Bijna de helft van de ondervraagden (49%) heeft een security functie, 19% is leidinggevende op het gebied van security of IT en nog eens 21% is onderdeel van een DevOps- of productteam. Technologiebedrijven en financiële dienstverleners, worden over het algemeen beschouwd als de voorlopers van het gebruik van API's, zij vormen dan ook 47% van de respondenten. Het volledige onderzoeksrapport is hier beschikbaar.

Terug naar nieuws overzicht
Security