Het afgelopen jaar zijn er veel security problemen geweest bij de ontwikkeling van API's. Een deel van de organisaties ondervond zelfs een datalek vanwege onveilige API's. Het kwaadaardig API verkeer is de afgelopen 12 maanden verdubbeld. Dit staat in het Salt Labs State of API Security Rapport, Q3 2022 van Salt Security.
Uit het rapport blijkt dat klanten van Salt Security een toename zagen van 117% in hun API aanvalsverkeer. tHun totale API verkeer groeide ondertussen met 168%. Dit benadrukt de aanhoudende explosie van enterprise-API's. Het kwaadaardige API verkeer nam 2,1% van het totale verkeer voor zijn rekening. De pogingen tot API aanvallen verschoven van gemiddeld 12,22 miljoen kwaadaardige incidenten per maand, naar gemiddeld 26,46 miljoen incidenten. Maar liefst 44% van de Salt klanten krijgt iedere maand gemiddeld 11 tot 100 aanvalspogingen. En 34% ontvangt meer dan 100 pogingen per maand en 8% ziet meer dan 1000 aanvallen.
Het ontwikkelen van een krachtige API beveiligingsstrategie is belangrijk, aangezien 61% van de respondenten nu meer dan 100 API's beheert. Als belangrijke bedrijfsonderdelen afhankelijk zijn van API's, kunnen bedrijven geen vertragingen of downtime oplopen. Toch geeft meer dan de helft van de respondenten aan dat de uitrol van nieuwe applicaties vertraging opliep vanwege zorgen over de security van hun API’s.
API beveiligingsplatforms moeten aanvallen stoppen
Op de vraag wat het ‘belangrijkste kenmerk’ moet zijn bij een API beveiligingsplatform, vindt 41% dat een platform met name aanvallen moet stoppen. De mogelijkheid om te identificeren welke API's PII of gevoelige data blootleggen, kwam op de tweede plaats (40%). Het voldoen aan regelgeving kwam op de derde plaats (39%). Het toepassen van shift-left testen kwam onderaan de lijst, slechts 22% van de respondenten vindt dit zeer belangrijk.
Shift-left strategieën zorgen voor risico’s
Organisaties die alleen shift-left testen toepassen blijven hun API's blootstellen. 94% van de respondenten, die alleen tijdens het testen op zoek ging naar API problemen, heeft nog steeds te maken met API security incidenten. Dit wijst erop dat organisaties zich meer moeten richten op runtime bescherming. In het rapport zegt slechts 30% van de respondenten dat ze API incidenten tijdens runtime identificeren en verhelpen. Maar om volledig te beschermen wat al draait in hun omgevingen, hebben organisaties runtimebeveiligingscapaciteiten nodig.
54% heeft vertraging opgelopen vanwege API beveiliging
Meer dan de helft (54%) gaf aan dat ze bij uitrol van nieuwe applicaties vertraging hebben opgelopen vanwege hun zorgen over de API security. Slecht design en security practices liggen vaak aan de basis van gevoelige PII datalekken. Bijna een derde van de respondenten geeft toe dat ze het afgelopen jaar te maken hebben gehad met blootstelling aan gevoelige gegevens. Of een privacy incident binnen hun API productie. Dit is een forse stijging ten opzichte van de 19% van vorig jaar. Binnen het klantenbestand van Salt heeft 91% van de API's enkele PII of gevoelige gegevens blootgelegd. Het is daarom voor organisaties absoluut noodzakelijk om te weten hoe en waar data worden verzonden.
Verouderde - 'zombie API’s’ grootste zorg
De respondenten vinden dat te weinig investeren in pre-production security (20%) en het slecht aanpakken van runtimebeveiliging (18%) hun grootste zorgen. De meeste zorgen geven verouderde of 'zombie API’s’. Account takeovers (15%) en onbedoelde blootstelling van gevoelige informatie (15%) vormen ook een zorg. De onrust over ‘shadow API’s’, oftewel onbekende API's, zijn de afgelopen zes maanden gestegen van 5% naar 11%.
82% gelooft dat hun bestaande tools erg effectief
De respondenten vertrouwen vooral op traditionele tools om API's te beheren en te beschermen tegen applicatie aanvallen. De meesten vertrouwen op API gateways (54%) en WAF's (44%) om aanvallen te identificeren. De gaps van traditionele tools worden genoemd. Maar liefst 82% gelooft niet dat hun bestaande tools erg effectief zijn in het voorkomen van API aanvallen.
Meerderheid (61%) geen of slechts basis API beveiligingsstrategie
Een aanzienlijke meerderheid (61%) gaf toe dat ze geen of slechts een basis API beveiligingsstrategie hebben. Dit is een punt van zorg omdat organisaties steeds meer afhankelijk zijn van API’s. Slechts een klein percentage (9%) geeft aan dat ze een geavanceerde API strategie hebben die speciale API tests en -bescherming omvat. De belangrijkste redenen voor het ontbreken van een robuuste API strategie zijn budget (24%), expertise (20%), middelen (19%) en tijd (11%).