Recent onderzoek van Noname Security wijst uit dat veel organisaties zeggen dat ze snappen dat ze API’s goed moeten beschermen. In de praktijk lijken deze organisaties dat echter toch niet te doen, blijkt uit datzelfde onderzoek. Een fundamenteel gebrek aan kennis van zaken lijkt hier de oorzaak van te zijn.
Vrijwel alle moderne omgevingen hangen aan elkaar met API’s. Zo’n 80 procent van al het internetverkeer passeert op een gegeven moment een API. Tel daarbij op dat je met een API een directe verbinding opzet met systemen en data en het mag duidelijk zijn dat API’s een geliefd doelwit zijn van aanvallers om te misbruiken. API’s zijn dan ook de vluchtauto bij aanvallen, want “een uitstekend vehikel voor data-exfiltratie”, geeft Noname Security CMO Mike O’Malley in gesprek met ons aan. Je kunt via deze route vrijwel onopgemerkt informatie van een bedrijf stelen. En dan niet zomaar een enkel stukje informatie, maar heel veel tegelijkertijd.
Met bovenstaande in het achterhoofd, zijn de bevindingen die Noname Security rapporteert in het API Security Disconnect 2023-rapport niet hoopgevend. Dat wil zeggen, het lijkt nog niet echt de goede kant op te gaan met de strijd tegen API-securitydreigingen. Veel organisaties stellen weliswaar dat ze de beveiliging van API’s hoog op de lijst met prioriteiten hebben staan, in de praktijk bakken ze er niet veel van. 94 procent geeft aan dat ze tools hebben om API’s te beschermen, maar 78 procent heeft in de twaalf maanden voor deelname aan het onderzoek te maken gehad met een API-gerelateerd security-incident. Dan gaat er iets niet helemaal goed. Wat precies? Daarover spreken we door met O’Malley.
Gebrek aan kennis over API-security
Bovenstaande cijfers geven aan dat er een grote discrepantie is tussen wat organisaties denken dat API-security is en wat er in de praktijk voor nodig is om dit goed te kunnen doen. Op zich is dat niet zo vreemd, want API-security is een relatief jonge discipline. Dan is er simpelweg nog veel onduidelijkheid. Daarnaast is het niet vreemd dat organisaties zichzelf enigszins overschatten als ze antwoord moeten geven op vragen in een onderzoek. Dat zien we eigenlijk altijd wel. Niemand geeft graag toe dat iets niet goed gaat, ook niet bij het anoniem invullen van een vragenlijst. Een gebrek aan kennis helpt hier uiteraard ook niet bij.
Een gebrek aan kennis constateert O’Malley zeker in de markt. Dat kun je ook opmaken uit het onderzoek volgens hem. Het lijkt er namelijk op dat veel respondenten het over een Web Application Firewall (WAF) of Application Gateways hebben als tools waarmee ze API’s kunnen beveiligen. Dat is echter een misvatting. Die kunnen niet diep genoeg in de materie duiken en bieden geen context. Daar hebben we het in eerdere artikelen over API-security ook uitgebreid over gehad.
Organisaties leunen in het algemeen nog zeer sterk op de API Gateway. Organisaties gebruiken de informatie uit de API Gateway voor het bepalen van de inventory aan API’s. Dat is op zich een goed startpunt en geeft een overzicht van het aantal API’s in een organisatie. Informatie uit een API Gateway geeft je echter niet precies inzicht in welke API’s er verbinding maken met gevoelige data, zoals PII. Ook hier is context van belang. Context die API Gateways over het algemeen niet kunnen geven.
Groeipijnen horen bij volwassen worden
Al met al heeft API-security als discipline te maken met de nodige groeipijnen. Het gaat echter wel de goede kant op, volgens O’Malley. Dat is althans een conclusie die je kunt trekken uit het onderzoek. Respondenten gaven dit jaar namelijk aan dat de voornaamste aanvalsroutes (attack vectors) WAFs, firewalls en API Gateways zijn. Vorig jaar stonden Zombie API’s bovenaan deze lijst. Dit geeft volgens hem aan dat er meer besef komt over de beperkingen van die tools, ook al leidt dit besef nog altijd niet tot het daadwerkelijk goed inrichten van API-security.
O’Malley verwacht dat er in het onderzoek van volgend jaar weer een stap zal zijn gezet. “We gaan van niet weten waar de API’s zijn [vorig jaar, red.], via het besef dat WAF en API Gateways niet genoeg zijn [dit jaar, red.], volgend jaar naar echte attack vectors”, vat hij het samen. Denk hierbij onder andere aan de OWASP Top 10 van API-securitydreigingen. Is dat het geval, dan kunnen we API-security als discipline volwassen noemen. Hiermee willen we niet suggereren dat het platform van een partij zoals Noname Security dat op dit moment nog niet is. We doelen vooral op de perceptie in de markt.
Lees ook: OWASP stipt de 10 grootste API-gevaren aan
API’s moeten standaard beveiligd zijn
API-security wordt her en der nog altijd wel eens afgedaan als een soort hype. Dat merken we ook op als we aan andere (security-)bedrijven vragen stellen hierover. De teneur is dan vaak dat de beveiliging van API’s geen separate tool zou moeten zijn. Het moet min of meer een garantie zijn van alle oplossingen en platformen die API’s gebruiken dat deze ook veilig zijn. Zo hebben we al van meerdere low-code developmentplatformen vernomen dat API-security daar geen rol speelt, omdat het onmogelijk is om een onveilige API in het proces mee te nemen, zonder dat dit wordt ontdekt voor livegang van een applicatie. Ook vanuit andere hoeken van de markt hebben we dit soort geluiden opgevangen.
Verifiëren kunnen we bovenstaande claims niet, al zitten er uiteraard wel degelijk checks in andere tools op de kwaliteit en basisbeveiliging van API’s. Het is echter maar zeer de vraag of die checks ver genoeg gaan. Als een API er aan de buitenkant veilig en goed uitziet en dus door een basisscreening heen komt, kan er nog steeds gemorreld zijn aan de informatie die heen en weer gaat.
API’s zijn verder niet alleen stuk voor stuk uniek – wat het lastig maakt om ze generiek te beschermen – ze zijn ook nog eens behoorlijk dynamisch. Dat wil zeggen, ontwikkelaars passen ze regelmatig aan. Hiermee is het niet ondenkbaar dat er kwetsbaarheden toegevoegd worden. Het testen van deze API’s gebeurt echter niet dagelijks. “Dat heeft er ook mee te maken dat veel organisaties niet weten dat het testen van API’s mogelijk is”, geeft O’Malley een belangrijke reden voor deze mismatch. Dit is wederom een teken dat API Security nog altijd niet ver genoeg is doorgedrongen binnen organisaties.
Tip: Noname Security lanceert Active Testing, kant-en-klare API securitytests
API-security wordt steeds meer mainstream
We zijn het overigens wel eens met de stelling dat API-security onderdeel zou moeten zijn van oplossingen en platformen. Daar zijn we echter nog niet, die stelling durven we hier wel aan. O’Malley ziet op dit punt echter de nodige bemoedigende ontwikkelingen. “Bedrijven zoals Cisco en F5 Networks willen API-security in hun producten inbouwen, dat geeft aan dat er echt markt voor is”, geeft hij aan. Hij wijst verder ook nog op de partnerships die Noname Security heeft met onder andere Intel en IBM. Die zorgen er ook voor dat API-security onderdeel wordt van een groter geheel. Dat is een goede ontwikkeling. Binnen het API-landschap is er tot slot ook een partnership met Mulesoft.
Al met al is de API-securitymarkt van eind 2023/begin 2024 een totaal andere dan de markt die we enkele jaren geleden beschreven. Hij is vooral veel volwassener nu. Het lijkt de goede kant op te gaan met de awareness binnen organisaties. Wel zijn er nog de nodige uitdagingen in de executie binnen deze organisaties. Dat is op zich niet vreemd en eigenlijk altijd zo bij nieuwe ontwikkelingen. Dat is de disconnect waar het API Security Disconnect-rapport onder andere aan refereert.
De kans dat Noname dit rapport binnen enkele jaren anders moet gaan noemen, is echter aanwezig. Dat is althans wat de bewegingen in de markt – die we in dit artikel hebben besproken – suggereren. Naast het bewustzijn dat er iets met API-security gedaan moet worden, gaan organisaties ook steeds meer inzien dat bestaande tools dit niet kunnen. Op dit moment schiet de kennis over dit onderwerp nog tekort bij veel organisaties. Maar dit is aan het veranderen. Hoe snel dit gaat veranderen, is lastig te voorspellen. Als het aan Noname Security ligt is dat heel snel. Zeker met de hulp van de partnerships en andere grote spelers in de markt die er meer nadruk op leggen, kan het best eens in een serieuze versnelling komen.
Voor de volledigheid, hier staat het rapport (na invullen gegevens) waarvan we in dit artikel enkele uitkomsten bespreken.
Luister ook: Hieronder een gesprek dat we voor onze podcastserie Techzine Talks hadden over API-security met een woordvoerder van Noname Security.