Applicaties beheersen onze wereld. Wij als gebruikers wisselen vooral informatie uit met applicaties via ons toetsenbord, terwijl applicaties onderling vooral informatie onderling uitwisselen via API’s (Applicatie Programming Interface). API’s verbinden bijvoorbeeld webportals probleemloos met een bestel-, voorraad- of boekingssysteem. Deze koppelingen kunnen bestaan tussen systemen binnen een organisatie, of tussen systemen van zogenaamde ketenpartners of een mix daarvan.
API’s en data-uitwisseling
Data-uitwisseling tussen systemen via API’s groeit hard. Zo hard dat een wildgroei aan API’s vaak het resultaat is. Daardoor kennen API’s ook een keerzijde. Zo kan een API een groter aanvalsoppervlak en daarmee een groter risico op gegevensdiefstal veroorzaken. In het ergste geval leidt dit zelfs tot een onderbreking van de bedrijfsprocessen.
Een officiële internationale organisaties van cyber security experts (OWASP) houdt de top 10 bij van belangrijkste actuele API-kwetsbaarheden. Opvallend aan deze 10 kwetsbaarheden is dat voor alle 10 gevaarlijkste kwetsbaarheden geldt dat het gaat om kwetsbaarheden in geauthentiseerd en geautoriseerd API-verkeer. Analyse van verkeer dat reeds plaats heeft gevonden in de context van een langere tijd, leidt mogelijk tot detectie en adequate response. Cybercriminelen blijven deze manier van aanvallen gebruiken voor hun kwaadaardige activiteiten. Met als resultaat voor de getroffen organisaties onder andere:
- Inkomstenverlies
- Reputatieschade
- Blootstelling aan persoonlijk identificeerbare informatie (PII) van klanten en werknemers
- Schending van nalevingsvereisten
Detecteren en actie ondernemen
Net als bij Network Detection and Response (NDR) en Endpoint Detection and Response (EDR) geldt ook voor API’s dat er oplossingen zijn om mogelijk malafide acties te detecteren en er gepaste actie op te ondernemen. Met API Security kunnen organisaties bijvoorbeeld de API’s die binnen hun omgeving actief zijn in kaart brengen, API-activiteit registreren, die activiteit monitoren met gedragsanalyses en geautomatiseerde reacties configureren. Op die manier worden feitelijk drie risico’s die spelen rondom de inzet van API’s gemitigeerd.
- Schaduw-API’s: Je weet niet hoeveel en welke API’s er precies gebruikt worden en er is geen inventaris beschikbaar
- Kwetsbare API’s: Je weet niet welke API’s kwetsbaar zijn en gerepareerd moeten worden, of welke API’s PII bevatten en riskanter zijn als ze worden gecompromitteerd
- API-misbruik
Zodra alle mogelijke API’s zijn geïdentificeerd, kan het derde probleem, API-misbruik, worden aangepakt. Hiervoor worden alle activiteiten van de eerder geïdentificeerde API’s geregistreerd. Zodra een basislijn voor normale en verwachte API-activiteit is vastgesteld, zal elke afwijkende, of abnormale API-activiteit een waarschuwing activeren.
Op basis van het type waarschuwing kunnen security experts bepalen welke acties er nodig zijn om het mogelijk probleem in de kiem te smoren. Tegenwoordig zien we steeds vaker dat cybercriminelen op zoek gaan naar de zwakste schakel in een keten. Vanuit deze organisatie wordt dan geprobeerd om het eigenlijke doelwit te raken. Een API kan binnen deze zogenoemde supply chain attack een essentiële rol spelen. Dan is het een prettige gedachte dat ook aan de kant van geautomatiseerde processen er een oogje in het zeil wordt gehouden en API’s geen last worden.