API'er, også kendt som applikationsprogrammeringsgrænseflader, ja, langt ord. Men API'er udgør altså rygraden i moderne softwareapplikationer.

API'er muliggør sømløs kommunikation og udveksling af data mellem forskellige systemer og platforme. De giver udviklere en grænseflade til at interagere med eksterne tjenester, så de kan integrere forskellige funktionaliteter i deres egne applikationer.

Dog har denne øgede afhængighed af API'er også gjort dem attraktive mål for cyberkriminelle. I de senere år er stigningen i API-brud blevet en voksende bekymring i cyber sikkerhedsverdenen. En af hovedårsagerne til stigningen i API-brud er utilstrækkelige sikkerhedsforanstaltninger implementeret af udviklere og organisationer. Mange API'er er ikke ordentligt sikret, hvilket gør dem sårbare over for angreb.

Desuden har hackere udviklet sofistikerede teknikker, der specifikt sigter mod svagheder inden for API'er. For eksempel kan de udnytte ondsindet kodeindsprøjtning i forespørgsler eller manipulere svar fra en API-endepunkt for at opnå uautoriseret adgang eller udtrække følsom information om brugere.

Konsekvenserne af et API-brud kan være alvorlige både for virksomheder og forbrugere. Organisationer kan stå over for økonomiske tab som følge af juridiske forpligtelser og omdømme skader forårsaget af lækket kundedata eller forstyrrede tjenester.

Kunder risikerer at få deres personlige oplysninger offentliggjort, hvilket kan føre til identitetstyveri eller andre former for svindel. Af disse grunde er det afgørende at sikre API-sikkerhed på grund af den sammenkoblede karakter af moderne softwareøkosystemer. Mange organisationer er afhængige af tredjepartsintegrationer og mikrotjenestearkitektur, hvor flere API'er interagerer sømløst med hinanden.

Hvis bare et enkelt API inden for dette komplekse netværk kompromitteres, åbner det døre for angribere til at udnytte sårbarheder på tværs af sammenkoblede systemer. Dog vælger de fleste virksomheder at bruge deres eksisterende infrastruktur som API-gateways og webapplikations-firewalls (WAF'er) til beskyttelse. Desværre kan det at stole udelukkende på disse teknologier efterlade huller i organisationens samlede sikkerhedsposition for API'er.

Her er nogle grunde til, at API-gateways og WAF'er alene kommer til kort:

Mangel på granulær adgangskontrol: Mens API-gateways tilbyder grundlæggende godkendelses- og autorisationsfunktioner, kan de muligvis ikke levere den finmasket adgangskontrol, der er nødvendig for komplekse scenarier. API'er kræver ofte mere sofistikerede kontroller baseret på faktorer som brugerroller eller specifikke ressource tilladelser.

Utilstrækkelig beskyttelse mod angreb på forretningslogik: Traditionelle WAF'er fokuserer primært på at beskytte mod almindelige sårbarheder som indsættelsesangreb eller cross-site scripting (XSS). De kan dog overse potentielle risici forbundet med forretningslogikfejl specifikke for en organisations unikke applikationsworkflow. Beskyttelse mod sådanne angreb kræver en dybere forståelse af de underliggende forretningsprocesser og implementering af skræddersyede sikkerhedsforanstaltninger i selve API-koden.

Utilstrækkelig trusselsintelligens: Både API-gateways og WAF'er er afhængige af foruddefinerede regelsæt eller signaturer for effektivt at opdage kendte angrebsmønstre. Dog kan nye trusler eller nul-dags sårbarheder omgå disse forudkonfigurerede forsvarsmekanismer, indtil nye regler opdateres af leverandører eller manuelt implementeres af udviklere/administratorer.

Begrænsninger for kryptering på dataniveau: Mens SSL/TLS-kryptering er afgørende under dataoverførsel mellem klienter og servere via API'er, beskytter den ikke altid data i ro inden for backend-systemerne selv, og garanterer ikke end-to-end-kryptering i hele dataflowpipeline.

Udnyttelse af sårbarheder før beskyttende lag: Hvis angribere finder en sårbarhed i API'er før trafikken når API-gatewayen eller WAF'en, kan de direkte udnytte den uden at blive opdaget af disse sikkerhedsforanstaltninger. Dette understreger behovet for robuste kodningspraksisser, sikre designprincipper og softwaretests, der identificerer sårbarheder tidligt.

Mangel på indsigt i API-specifikke trusler: API-gateways og WAF'er kan muligvis ikke give detaljerede indblik i angreb rettet mod specifikke API-adfærd eller misbrugsmønstre. At opdage anomalier såsom overdreven anmodninger pr. minut fra en enkelt klient eller uventede forsøg på dataadgang kræver specialiserede værktøjer og teknikker skræddersyet til at overvåge API-specifikke trusler omfattende.

Sådan håndterer organisationer API-sikkerhed

For at få en idé om, hvor mange organisationer der virkelig forstår de unikke sikkerhedsaspekter, som API'er repræsenterer, gennemførte Hacker News for nyligt deres årlige undersøgelse for at finde ud af det. Rapporten om API-sikkerhedstendenser i 2023 inkluderer undersøgelsesdata fra over 600 CIO'er, CISO'er, CTO'er og senior sikkerhedsfolk fra USA og Storbritannien inden for seks brancher.

Målet med rapporten var at identificere, hvor mange organisationer der blev påvirket af API-specifikke angreb, hvordan de blev angrebet, hvordan eller om de forberedte sig, og i sidste ende, hvad de har gjort som respons.

Nogle af de bemærkelsesværdige datapunkter fra rapporten inkluderer det faktum, at 78% af cybersikkerhedsteams siger, at de har oplevet en API-relateret sikkerhedsbegivenhed inden for de sidste 12 måneder. Næsten tre fjerdedele (72%) af respondenterne har en fuld oversigt over API'er, men af dem har kun 40% indsigt i, hvilke der returnerer følsomme data. Og på grund af denne virkelighed siger 81%, at API-sikkerhed nu er mere prioriteret end for 12 måneder siden.