Hoewel API’s steeds meer de ruggengraat van de digitale transformatie vormen en zorgen voor verbinding tussen kritieke services en applicaties, blijven ze achter qua beveiliging. Uit onderzoek van F5 blijkt dat minder dan 70 procent van de klantgerichte API’s is beveiligd met HTTPS (Hypertext Transfer Protocol Secure). Ter vergelijking, het protocol waar de afgelopen tien jaar op ingezet is om veilige web-communicatie mogelijk te maken, biedt inmiddels toegang tot 90 procent van de websites, maar een derde van de API’s maakt er dus nog geen gebruik van.
Het 2024 State of Application Strategy Report: API Security gaat in op de huidige staat van API-beveiliging in verschillende sectoren. Het rapport legt de nadruk op belangrijke hiaten in API-beveiliging, waardoor deze blootstaan aan potentiële bedreigingen die de bedrijfsbeveiliging en -activiteiten in gevaar kunnen brengen. Deze uitdagingen worden versterkt door de snelle toename van API's in het huidige digitale landschap.
Uit het rapport blijkt dat de gemiddelde organisatie nu 421 verschillende API’s beheert, waarvan de meeste gehost worden in publieke cloud-omgevingen. Ondanks deze groei blijft een aanzienlijk aantal API's, met name die klantgericht zijn, onbeschermd. Omdat API's steeds vaker verbinding maken met AI-services zoals OpenAI, moet het beveiligingsmodel worden aangepast om zowel inkomend als uitgaand API-verkeer te beveiligen. De huidige praktijken richten zich grotendeels op inkomend verkeer, waardoor uitgaand API-verkeer kwetsbaar blijft.
De beveiligingshiaten ontstaan mogelijk door de gesplitste verantwoordelijkheid die veel gezien wordt. Bij 53 procent van de ondernemingen valt API-beveiliging onder applicatiebeveiliging en 31 procent vapakt het op via tPI-management en integratieplatformen.
De hiaten in API-beveiliging aanpakken
Om deze gaten in de beveiliging te dichten, beveelt het rapport organisaties aan om allesomvattende beveiligingsoplossingen te gebruiken die de gehele API-levenscyclus kunnen bestrijken, van ontwerp tot implementatie. Door API-beveiliging te integreren in zowel de ontwikkelings- als de operationele fase kunnen organisaties hun digitale activa beter beschermen tegen een groeiend aantal bedreigingen.
Lori MacVittie, Distinguished Engineer bij F5: “API's zijn een integraal onderdeel van het huidige AI-gedreven IT-tijdperk, maar ze moeten worden beveiligd om ervoor te zorgen dat AI en digitale services veilig en effectief kunnen werken. “Dit rapport is een oproep tot actie voor organisaties om hun API-beveiligingsstrategieën opnieuw te evalueren en de nodige stappen te ondernemen om hun gegevens en diensten te beschermen.”