Cloud­flare heeft het API Security & Manage­ment Report gepubli­ceerd. Dit rapport onthult dat API’s meer dan ooit worden ingezet, waardoor bedrijven de deur wijd openzetten voor meer online bedrei­gingen dan we eerder hebben meege­maakt. Het rapport maakt inzich­te­lijk dat er een kloof bestaat tussen het gebruik van API’s door bedrijven en hun vermogen om de data te bevei­ligen die door die API’s wordt gebruikt.

API-afhankelijkheid

API’s besturen de digitale wereld, onze mobiel­tjes, smart­wat­ches, banksys­temen en webshops zijn sterk afhan­ke­lijk van API’s voor de commu­ni­catie. Ze helpen e‑commerce sites bij het accep­teren van betalingen, maken het mogelijk voor zorgsys­temen om veilig patiënt­ge­ge­vens te delen, en zorgen ervoor dat taxi’s en openbaar vervoers­be­drijven toegang hebben tot real-time verkeers­ge­ge­vens. Tegen­woordig gebruikt bijna elk bedrijf API’s om betere sites, apps en diensten te bouwen en aan te bieden aan consu­menten. Maar niet goed beheerde of niet-bevei­ligde API’s zijn een goudmijn voor kwaad­wil­lenden voor het stelen van mogelijke gevoe­lige informatie.

Belangrijkste onderzoeksuitkomsten

De belang­rijkste uitkom­sten van het API Security & Manage­ment Report voor 2024 van Cloud­flare zijn: 

• Bijna alle markt­sec­toren hebben te maken met hoge pieken in API-verkeer: de gestroom­lijnde integra­ties die API’s mogelijk maken hebben ervoor gezorgd dat organi­sa­ties in vrijwel elke sector ze steeds meer inzetten, sommigen zijn hier sneller in dan anderen. IoT-bedrijven, het openbaar vervoer en taxi’s, juridi­sche dienst­ver­le­ning, multi­media en games-bedrijven, en de logis­tieke en toele­ve­rings­be­drijven leverden het grootste aandeel van het API-verkeer in 2023.
• API-verkeer neemt het grootste gedeelte van het inter­net­ver­keer voor zijn rekening: API’s nemen het grootste deel van het dynami­sche inter­net­ver­keer wereld­wijd voor hun rekening (57%). In elke regio die door Cloud­flare wordt beschermd is er een toename van het gebruik te zien in het afgelopen jaar. Maar de topregio’s waar het gebruik van API’s explo­deerde en waar het aandeel in het verkeer het grootst was in 2023 waren Afrika en Azië.
• API’s hebben te maken met veel verschil­lende toene­mende bedrei­gingen: net als bij alle populaire belang­rijke bedrijfs­func­ties die gevoe­lige data gebruiken, proberen kwaad­wil­lenden alle mogelijke middelen in te zetten om er toegang toe te krijgen. Daarom heeft de toege­nomen popula­ri­teit van API’s ook een toename van het aantal aanvallen veroorzaakt.HTTP Anomaly, Injec­tion aanvallen en File inclu­sion vormen de top drie van de meest gebruikte soorten aanvallen die door Cloud­flare worden gemitigeerd.
• Schaduw-API’s bieden kwaad­wil­lenden een onbevei­ligde route: het is moeilijk voor bedrijven om datgene te bevei­ligen wat ze niet kunnen zien. Bijna 31% meer API REST eindpunten (wanneer een API verbin­ding maakt met het softwa­re­pro­gramma) werden ontdekt door middel van machine-learning versus door de klant geleverde identi­fi­ca­tie­fac­toren, dat wil zeggen dat organi­sa­ties geen volle­dige inven­taris hebben van hun API’s.
• Oplos­singen voor DDoS-mitigatie zijn een van de meest effec­tieve tools voor API-bescher­ming: het maakt niet uit of een organi­satie volledig zicht heeft op zijn API’s, oplos­singen voor DDoS-mitigatie kunnen helpen bij het blokkeren van mogelijke bedrei­gingen. Een derde (33%) van alle mitiga­ties die zijn toege­past op API-bedrei­gingen werden geblok­keerd door DDoS-bescher­ming die al geïmple­men­teerd was.

“Een aantal van de grootste cyber­aan­vallen in de afgelopen jaren waren het gevolg van kwaad­wil­lenden die inbraken via firewalls en toegang kregen tot een netwerk, doordat ze via een API als open deur binnen­kwamen,” zei Matthew Prince, CEO en mede-oprichter van Cloud­flare. “Terwijl API’s een centrale rol gaan spelen in onze digitale economie geloven we dat geen bedrijf of consu­ment de bevei­li­ging van zijn data zou moeten opofferen om de betere ervaringen te krijgen die door de API’s worden geboden.” 

“API’s zijn krach­tige tools voor ontwik­ke­laars voor het maken van complexe appli­ca­ties om hun klanten, partners en werkne­mers te bedienen, maar elke API vormt een mogelijk aanvals­ge­bied dat bevei­ligd moet worden,’’ zei Melinda Marks, Practice Director, Cyber­se­cu­rity, voor de Enter­prise Strategy Group. “Zoals dit nieuw rapport laat zien, hebben organi­sa­ties effec­tie­vere manieren nodig om API-bevei­li­ging aan te pakken. Inclu­sief een betere zicht­baar­heid van API’s, manieren om bevei­ligde authen­ti­catie en autho­ri­satie tussen verbin­dingen te garan­deren, en betere manieren om hun appli­ca­ties te bevei­ligen tegen aanvallen.” 

De uitkom­sten in dit rapport zijn gebaseerd op verkeers­pa­tronen die werden geobser­veerd door het wereld­wijde netwerk van Cloud­flare (inclu­sief de webap­pli­ca­tie­fire­wall van Cloud­flare, DDoS-bevei­li­ging, bot-manage­ment, en API gateway diensten) tussen 1 oktober 2022 en 31 augustus 2023. Voor het kwartaal dat eindigde op 30 september 2023 leverde Cloud­flare gemid­deld 50 miljoen HTTP-verzoeken per seconde, en werden gemid­deld elke dag 170 miljard cyber-bedrei­gingen geblokkeerd.