Ondernemen met de beste ondersteuning

Nieuws

94 procent van de organisaties ondervindt security incidenten tijdens de ontwikkeling van API's

Kwaadaardig API verkeer de afgelopen twaalf maanden verdubbeld

94 procent van de organisaties ondervindt security incidenten tijdens de ontwikkeling van API's

5 augustus 2022 - Salt Security kondigt zijn ‘Salt Labs State of API Security Rapport, Q3 2022’ aan. Uit het tweejaarlijkse rapport blijkt dat 94 procent van de respondenten het afgelopen jaar security problemen heeft gehad tijdens de ontwikkeling van API's. Maar liefst twintig   procent van de organisaties ondervond zelfs een datalek vanwege onveilige API's. Uit het rapport blijkt verder dat het kwaadaardig API verkeer de afgelopen twaalf maanden is verdubbeld.
 

Uit het Q3 2022 rapport blijkt dat klanten van Salt Security een toename zagen van 117 procent in hun API aanvalsverkeer, terwijl hun totale API verkeer met 168 procent groeide. Dit benadrukt de aanhoudende explosie van enterprise-API's. Het kwaadaardige API verkeer nam 2,1 procent van het totale verkeer voor zijn rekening. De pogingen tot API aanvallen verschoven het afgelopen jaar van gemiddeld 12,22 miljoen kwaadaardige incidenten per maand, naar gemiddeld 26,46 miljoen incidenten. Maar liefst 44 procent van de Salt klanten krijgt iedere maand gemiddeld elf tot 100 aanvalspogingen, 34 procent ontvangt meer dan 100 pogingen per maand en acht  procent ziet meer dan 1000 aanvallen.
Het ontwikkelen van een krachtige API beveiligingsstrategie is van cruciaal belang, aangezien 61 procent van de respondenten nu meer dan 100 API's beheert. Als belangrijke bedrijfsonderdelen afhankelijk zijn van API's, kunnen bedrijven geen vertragingen of downtime oplopen. Toch geeft meer dan de helft van de respondenten aan dat de uitrol van nieuwe applicaties vertraging opliep vanwege zorgen over de security van hun API’s.
"Digitalisering heeft ervoor gezorgd dat organisaties steeds meer afhankelijk zijn van API's om nieuwe diensten te leveren en beter te kunnen concurreren. Deze focus op digitale innovatie heeft organisaties ook een interessant doelwit gemaakt voor cybercriminelen," aldus Roey Eliyahu, medeoprichter en CEO van Salt Security: "API aanvallen nemen bovendien ieder jaar toe, waardoor het ons niet verbaast dat beveiliging de belangrijkste prioriteit is bij API strategieën. De uitkomsten van het rapport tonen ook de noodzaak aan voor een robuustere API beveiligingsstrategie."

API beveiligingsplatforms moeten vooral aanvallen stoppen
Op de vraag wat het ‘belangrijkste kenmerk’ moet zijn bij een API beveiligingsplatform, gaf 41 procent aan dat een platform met name aanvallen moet stoppen. De mogelijkheid om te identificeren welke API's PII of gevoelige data blootleggen, kwam op de tweede plaats (40 procent). Het voldoen aan regelgeving kwam op de derde plaats (39 procent). Het toepassen van shift-left testen kwam onderaan de lijst, slechts 22 procent van de respondenten vindt dit zeer belangrijk.
 
Shift-left strategieën zorgen voor risico’s
Organisaties die alleen shift-left testen toepassen blijven hun API's blootstellen. Maar liefst 94 procent van de respondenten, die alleen tijdens het testen op zoek ging naar API problemen, heeft nog steeds te maken met API security incidenten. Dit wijst erop dat organisaties zich meer moeten richten op runtime bescherming. In het rapport zegt slechts 30 procent van de respondenten dat ze API incidenten tijdens runtime identificeren en verhelpen. Maar om volledig te beschermen wat al draait in hun omgevingen, hebben organisaties runtimebeveiligingscapaciteiten nodig.

54 procent heeft vertraging opgelopen vanwege zorgen over hun API beveiliging
Meer dan de helft van de respondenten (54 procent) gaf aan dat ze bij uitrol van nieuwe applicaties vertraging hebben opgelopen vanwege hun zorgen over de API security. Slecht API design en security practices liggen vaak aan de basis van gevoelige PII datalekken. Bijna een derde van de respondenten geeft toe dat ze het afgelopen jaar te maken hebben gehad met blootstelling aan gevoelige gegevens of een privacy incident binnen hun API productie. Dit is een forse stijging ten opzichte van de 19 procent van vorig jaar. Binnen het klantenbestand van Salt heeft 91 procent van de API's enkele PII of gevoelige gegevens blootgelegd. Het is daarom voor organisaties absoluut noodzakelijk om te weten hoe en waar data worden verzonden, zodat ze hun API's het best kunnen beschermen.

Verouderde - 'zombie API’s’ grootste zorg
De respondenten gaven verder aan dat het niet genoeg investeren in pre-production security (twintig procent) en het niet adequaat aanpakken van runtimebeveiliging (achttien procent) hun grootste zorgen waren bij hun API strategie. Toen er werd gevraagd naar de meest relevante API security risico's, gaf 42 procent aan dat verouderde of 'zombie API’s’ hun grootste zorg zijn. Account takeovers (vijftien procent) en onbedoelde blootstelling van gevoelige informatie (vijftie procent) waren de op één na grootste zorgen. De zorgen over ‘shadow API’s’, oftewel onbekende API's, zijn de afgelopen zes maanden gestegen van vijf procent naar elf procent.

82 procent gelooft dat hun bestaande tools erg effectief zijn in het voorkomen van API aanvallen.
Net als in eerdere onderzoeken zeiden respondenten dat ze voornamelijk vertrouwen op traditionele tools om API's te beheren en te beschermen tegen applicatie aanvallen. De meeste respondenten vertrouwen op API gateways (54 procent) en WAF's (44 procent) om aanvallen te identificeren. De gaps van traditionele tools wordt onderstreept door de respondenten. Maar liefst 82 procent gelooft niet dat hun bestaande tools erg effectief zijn in het voorkomen van API aanvallen.

Meerderheid (61 procent) geen of slechts basis API beveiligingsstrategie
Een aanzienlijke meerderheid van de respondenten (61 procent) gaf toe dat ze geen of slechts een basis API beveiligingsstrategie hebben. Dit is een punt van zorg gezien organisaties steeds meer afhankelijk zijn van API’s. Ondanks dat alle respondenten API's in productie hebben, geeft slechts een klein percentage (negen procent) aan dat ze een geavanceerde API strategie hebben die speciale API tests en -bescherming omvat. De belangrijkste redenen voor het ontbreken van een robuuste API strategie zijn budget (24 procent), expertise (twintig procent), middelen (negentien procent) en tijd (elf procent).
 
De overige bevindingen uit het State of API Security Rapport zijn:
 
 
  • 91 procent van de API's die binnen het klantenbestand van Salt draaien, stellen PII of gevoelige gegevens bloot;
  • API wijzigingen nemen toe - elf procent van de respondenten werkt hun API's dagelijks bij, 31 procent doet dit wekelijks en 24 procent minder vaak dan iedere maand;
  • Ongeveer de helft van de respondenten (55 procent) zegt dat hun beveiligingsteam de OWASP API Security Top tien controleert. Dit is een daling van 61 procent vergeleken met zes maanden geleden;
  • 86 procent van de respondenten heeft geen vertrouwen dat hun API inventaris compleet is, en veertien procent geeft toe niet op de hoogte te zijn van welke API's PII blootleggen
64 procent van de respondenten zegt dat API security zorgt voor een betere samenwerking tussen DevOps en security teams


 

Doorsturen  |  Reageer  |  Nieuwsbrief

Reacties

Er zijn nog geen reacties.

Reageren

http://
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de
code te wijzigen.