API: Attackytan som förbinder oss alla

Internet är mycket motståndskraftigt och självläkande inför slumpmässiga störningar, men det är känsligt för mänskliga fel.

Ju närmare du kommer applikationslagret, särskilt det mänskliga lagret, desto mer undrar du hur den här saken någonsin fungerade. Särskilt ransomware, högprofilerade cyberangrepp har blivit vanligare och mer genomgripande de senaste åren. Du bör dock inte oroa dig om du inte är beroende av löjliga saker som bränsle, biff, flygresor eller dina säkerhetskopior.

Den här artikeln fokuserar på API-säkerhet, och om du har tittat på API:er hur länge som helst, vet du att säkerhet ofta är en eftertanke.

API för säkerhetsutveckling (dvs människorna)

När man överväger API: er, som gör det möjligt för programvarukomponenter att kommunicera med varandra, måste man också beakta gränssnittet mellan säkerhets- och utvecklingsteam.

Säkerhet och utveckling har aldrig riktigt delat ett gemensamt språk, delvis på grund av deras distinkta erfarenheter, vokabulär och mål. Men det här spända förhållandet blir allt mer avgörande, särskilt med det oundvikliga trycket att erbjuda fler funktioner, släppa snabbare och ta till sig den senaste tekniska trenden under "DevOps"-bannern. Vad måste ändras för att uppnå mer anpassning?

Vad härnäst?

Time to Value (eller Time To First Value, TTFV) är en term som används inom produkthantering för att indikera hur lång tid det tar för en ny kund eller prospekt att få värde från produkten eller tjänsten du har sålt dem. Uppenbarligen är målet "så snabbt som möjligt". Vi måste minska en ny säkerhetsutövares Time to Value.

Med hänvisning till den nuvarande omfattningen och effekten av överträdelser, hävdar Jeremiah Grossman att det inte beror på att offensiva strategier har förbättrats utan snarare att fiender har visat sig mer skickliga på att rekrytera och utbilda nybörjarjobb än informationssäkerhetssektorn.

API-skydd

Kommunicera med världen

API:er finns överallt. Du kan vara säker på att varje applikation eller tjänst som är tillgänglig på internet på något sätt backas upp av ett API. API:er stöder bland annat mobilappar, Internet of Things (IoT), molnbaserade klienttjänster, interna applikationer och partnerapplikationer, bland annat idag.

Utöver de säkerhetsproblem som API:er ger upphov till måste hastigheten också beaktas. Eftersom API-trafik avlastas från ursprungsservrar till kantservrar på CDN-sidan, observerar Akamai regelbundet API:s prestandaförbättringar. Detta arrangemang påskyndar tillgängligheten och garanterar tillgänglighet.

Det finns dock en fråga som ökar. Organisationer som skyddar sina API:er med konventionella nätverkssäkerhetslösningar får på sin höjd mediokra resultat, om några alls. Detta beror på att de traditionella nätverkssäkerhetsstandarderna bara kan åstadkomma så mycket.

Majoriteten av farorna förknippade med webbplatser och onlineappar kommer också att gälla API:er, men de måste hanteras oberoende.

API:er ökar avsevärt hotytan som företag måste försvara sig mot. Därför måste försvars- och utvecklingsorganisationer anstränga sig mer för att lösa dessa problemregioner.

90 % av webbaktiverade appar kommer att ha en större attackyta i form av offentliga API:er snarare än användargränssnittet 2021, upp från 40 % 2019.

Den goda nyheten är att företagsledare och säkerhetsteam redan har antagit mer robusta API-säkerhetsställningar. Det finns dock tillräckliga möjligheter för expansion, och brottslingar utnyttjar säkert API-säkerhetshål.

Ladda ner Akamais whitepaper för att lära dig mer om API: The Attack Surface That Connects Us All only on Whitepapers Online.