De ontwikkeling van API’s is niet zonder security-gevaren, blijkt uit onderzoek van Salt Security.
94% van de respondenten had het afgelopen jaar security-problemen tijdens de ontwikkeling van API’s. Maar liefst 20% van de organisaties ondervond zelfs een datalek vanwege onveilige API’s. Uit het rapport blijkt verder dat het kwaadaardig API verkeer de afgelopen 12 maanden verdubbelde.
Forse toename aanvalsverkeer
Uit het Q3 2022 rapport blijkt dat ondernemingen een toename zagen van 117% in hun API aanvalsverkeer. Dit, terwijl hun totale API verkeer met 168% groeide. Dit benadrukt de aanhoudende explosie van enterprise-API’s. Het kwaadaardige API verkeer nam 2,1% van het totale verkeer voor zijn rekening.
De pogingen tot API aanvallen verschoven het afgelopen jaar van gemiddeld 12,22 miljoen kwaadaardige incidenten per maand, naar gemiddeld 26,46 miljoen incidenten. Maar liefst 44% van de Salt klanten krijgt iedere maand gemiddeld 11 tot 100 aanvalspogingen. 34% Ontvangt meer dan 100 pogingen per maand en 8% ziet meer dan 1000 aanvallen.
Cruciaal belang
Het ontwikkelen van een krachtige API beveiligingsstrategie is van cruciaal belang, aangezien 61% van de respondenten nu meer dan 100 API’s beheert. Als belangrijke bedrijfsonderdelen afhankelijk zijn van API’s, kunnen bedrijven geen vertragingen of downtime oplopen. Toch geeft meer dan de helft van de respondenten aan dat de uitrol van nieuwe applicaties vertraging opliep. Dit, vanwege zorgen over de security van hun API’s.
Aanvallen stoppen
Op de vraag wat het ‘belangrijkste kenmerk’ moet zijn bij een API beveiligingsplatform, gaf 41% aan dat een platform met name aanvallen moet stoppen. De mogelijkheid om te identificeren welke API’s PII of gevoelige data blootleggen, kwam op de tweede plaats (40%). Het voldoen aan regelgeving kwam op de derde plaats (39%).
Vertraging
Meer dan de helft van de respondenten (54%) gaf aan dat ze bij uitrol van nieuwe applicaties vertraging hebben opgelopen vanwege hun zorgen over de API security. Slecht API design en security practices liggen vaak aan de basis van gevoelige PII datalekken. Bijna een derde van de respondenten geeft toe dat ze het afgelopen jaar te maken hebben gehad met blootstelling aan gevoelige gegevens of een privacy incident binnen hun API productie. Dit is een forse stijging ten opzichte van de 19% van vorig jaar.
Traditionele tools
Net als in eerdere onderzoeken zeiden respondenten dat ze voornamelijk vertrouwen op traditionele tools om API’s te beheren en te beschermen tegen applicatie aanvallen. De meeste respondenten vertrouwen op API gateways (54%) en WAF’s (44%) om aanvallen te identificeren. De gaps van traditionele tools wordt onderstreept door de respondenten. Maar liefst 82% gelooft niet dat hun bestaande tools erg effectief zijn in het voorkomen van API aanvallen.
