Veel organisaties hebben hun Application Programming Interface (API)-beveiliging niet op orde en weten veelal niet of IT-afdelingen op de hoogte zijn van alle API’s die in hun organisatie aanwezig zijn. Dit blijkt uit een onlangs gepubliceerd onderzoek van Ping Identity onder honderd beveiligingsmedewerkers en IT-professionals.
Ruim 45 procent van de ondervraagden geeft aan niet zeker te zijn of hun beveiligingsteam in staat is kwaadwillende actoren te detecteren, die misbruik maken van hun API-toegang. Meer dan 51 procent weet niet eens of hun beveiligingsteam überhaupt op de hoogte is van de API’s die in de organisatie aanwezig zijn. Van de ondervraagden geeft een kwart aan meer dan 1000 API’s te hebben, aldus Techrepublic.
Ecosystemen
Een API is eigenlijk niets meer dan een verzameling definities op basis waarvan een computerprogramma communiceert met een ander programma of onderdelen daarvan. In de huidige cloud verbonden wereld is het aanbieden van API’s aan derden tot functies of gegevens noodzaak om deel te kunnen nemen aan ecosystemen van anderen.
Het is tevens een belangrijke motor voor bedrijfsgroei voor de meeste softwarebedrijven. Of het nu gaat om integratie van een Alexa-vaardigheid op een Amazon Echo Smart-luidsprekers of het integreren van een eigen product met sociale netwerken en communicatiehulpmiddelen, zoals Facebook. API’s zijn in deze onmisbaar.
Facebook schandaal
Kwaadwillende actoren gebruiken steeds vaker openbaar toegankelijke, slecht beveiligde API’s als aanvalsvector. Een recent voorbeeld van een slecht beveiligde API is het Facebook-schandaal waar onderzoekers van Cambridge Analytica bij betrokken waren. Zij zouden misbruik hebben gemaakt van Facebook-API-toegangsrechten om zo accountinformatie te verzamelen van zo’n 87 miljoen profielen.
Ook steeds meer overheden maken zich wereldwijd zorgen om zwakke punten in hun API’s. Om misbruik van andere staten te voorkomen heeft de Franse president Emmanuel Macron een speciaal pact ingevoerd dat ervoor moet zorgen dat regeringen zich niet met dergelijke praktijken bezighouden. Hoewel 51 landen hebben ondertekend, weigerden de VS, Rusland, China, Iran, Israël en Noord-Korea hun handtekening te plaatsen.