Wat staat ons te wachten voor API-beveiliging in 2023?

7th februari 2023
Een afbeelding van , Nieuws, Wat staat ons te wachten voor API-beveiliging in 2023?

API-misbruik en gerelateerde datalekken

Gartner heeft gezegd dat API-aanvallen in 2022 de meest voorkomende aanvalsvector zouden zijn, resulterend in datalekken voor zakelijke webapplicaties. Gartner voorspelt ook dat API-misbruik en gerelateerde datalekken tegen 2024 zullen verdubbelen.  

Voor 2023 zien we geen reden om eraan te twijfelen dat API's een belangrijk doelwit zullen blijven voor aanvallers, wat zal leiden tot diefstal, fraude en bedrijfsonderbrekingen. Het recente Optus Telecom API-beveiligingsincident toont de nieuwe analyseniveaus die aanvallers uitvoeren om te begrijpen hoe elke API werkt, hoe ze met elkaar omgaan en wat het verwachte resultaat is. In een ander voorbeeld van misbruik van het vertrouwen dat tot stand is gebracht door de API-host-naar-gebruiker-relatie, werd een zoekfunctie voor lokale inventaris die werd gebruikt om Ulta Beauty-klanten in staat te stellen producten in de buurt te vinden en te kopen, getroffen door een aanval die 700 keer groter was dan de gemiddelde belasting. . 

Vraag naar API-beveiligingsoplossingen

De vraag naar een API-beveiligingsoplossing die gedurende de gehele API-beveiligingslevenscyclus werkt en alle API's, alle API-implementaties, kanalen en infrastructuuromgevingen en alle gebruikersgroepen en zakelijke use-cases beschermt, zal toenemen. Recente rapporten ondersteunen dit idee, waarbij wordt opgemerkt dat met de toenemende incidentie van kwaadaardige aanvallen op API's, de vraag naar API-beveiligingsoplossingen zal groeien met een samengesteld jaarlijks groeipercentage (CAGR) van 26.3% tussen 2022 en 2032, in totaal ongeveer $ 10 miljard aan inkomsten per 2032.

Hoe AI een advertentiestack-supercharge is.
Trending
Hoe AI een advertentiestack-supercharge is. 

Talent tekort

Overbelaste IT-beveiligingsteams zullen onvoldoende tijd aan hun zijde blijven hebben om API-kwetsbaarheden te ontdekken. Om het nog erger te maken, bevinden veel beveiligingsteams zich in een moeilijke situatie waarin ze hun aanvalsoppervlak moeten beschermen met beperkte middelen terwijl ze moeten omgaan met het aanhoudende tekort aan talent. En aanvallers zijn geavanceerd en meedogenloos en gebruiken geavanceerde tools, zoals kunstmatige intelligentie, machine learning en automatisering. We voorspellen dat ze in toenemende mate in staat zullen zijn om de levenscyclus van end-to-end aanvallen te versnellen, van weken tot dagen of uren, van verkenning tot exploitatie. 

OWASP API-beveiligingsbedreigingen

We zullen aanhoudende beveiligingsincidenten en datalekken zien die benadrukken hoe aanvallers misbruik maken van Open Web Application Security Project (OWASP) gecategoriseerde beveiligingslacunes om hun aanvallen uit te voeren. De technieken die bij deze incidenten worden waargenomen, bootsen de technieken na die worden beschreven in het API Protection Report, waarbij aanvallers actief de OWASP API-beveiligingsgecategoriseerde bedreigingen mixen en matchen om gemeenschappelijke beveiligingscontroles te omzeilen. 

In het komende jaar zullen we aanvallers zien evolueren om de onheilige drie-eenheid van door OWASP geïdentificeerde API-beveiligingslacunes te gebruiken. Deze combinatie zal drie verschillende tactieken blijven omvatten - Broken User Authentication (API2), Excessive Data Exposure (API3) en Improper Assets Management (API9) - om gemeenschappelijke beveiligingscontroles te omzeilen en hun einddoel te bereiken. De toegenomen combinatie van deze drie bedreigingen geeft aan dat aanvallers nieuwe analyseniveaus zullen uitvoeren om te begrijpen hoe elke API werkt, inclusief hoe ze met elkaar omgaan en wat het verwachte resultaat zal zijn. 

Schaduw-API's

Schaduw-API's blijven de grootste bedreiging voor de branche. Aanvallen op schaduw-API's zijn effectief omdat ze misbruik maken van onschadelijke fouten in de ontwikkeling en controle van activabeheer. Deze fouten worden vaak misbruikt door bots, die vertrouwen op het gebrek aan API-zichtbaarheid bij de verdedigers. Nieuw onderzoek door het Cequence CQ Prime Threat Research-team meldde dat 31%, oftewel 5 miljard kwaadwillige transacties die in de eerste helft van 2022 werden waargenomen, gericht waren op onbekende, onbeheerde en onbeschermde API's, ook wel schaduw-API's genoemd.  

Consolidatie van leveranciers van API-beveiligingstools

Verdere consolidatie van leveranciers van API-beveiligingstools wordt ook verwacht in 2023. Zoals we de laatste tijd hebben gezien, hebben leveranciers van webapplicatie-firewalls (WAF) botbeheerbedrijven overgenomen in pogingen om end-to-end applicatiebescherming te bieden. Voorbeelden van deze activiteit zijn Imperva en Distil Networks, en F5 en Shape. Nu willen hun klanten API's beschermen met puntproducten van een reeks API-beveiligingsleveranciers, wat leidt tot leveranciersmoeheid en waarschuwingsmoeheid. 

Terwijl we verschuiven van een investeringsklimaat dat "groei tegen elke prijs" beloonde naar "duurzame groei naar winstgevendheid", zullen tal van API-beveiligingsstartups merken dat er weinig andere keus is dan overgenomen te worden. Ondernemingen die nog steeds worstelen met een acuut tekort aan talent, ondanks de deadlines van technische ontslagen onlangs, zullen op zoek gaan naar leveranciers die een compleet, alomvattend platform of oplossing bieden voor de groeiende applicatie- en API-beveiligingsuitdagingen van vandaag. 

Enterprise API-beveiligingsbehoeften kunnen alleen worden vervuld door een oplossing die de gehele API-beschermingslevenscyclus dekt, waarbij inzicht wordt verkregen in alle API's, inclusief openbare, interne en onbeheerde, en de beperking van API-kwetsbaarheden, het waarborgen van API-compliance en de detectie en voorkomen van aanvallen op API's.

Regelgevend toezicht op API-beveiliging

Met het toenemende aantal spraakmakende inbreuken zal er meer regelgevend toezicht op API-beveiliging komen, wat resulteert in meer overheidsvoorschriften en branchecertificeringsvereisten. Als een bedrijf bijvoorbeeld API's gebruikt die informatie over betaalkaarten bevatten, moeten dat bedrijf en zijn technische partners die API's ondersteunen om te voldoen aan de vereisten van de Payment Card Industry Data Security Standard (PCI DSS). In 2022 is de PCI DSS geüpdatet om meer informatie en richting toe te voegen rond de vereisten voor het ontwikkelen en onderhouden van veilige systemen en software.  

In Australië hebben recente datalekken API-kwetsbaarheden in de schijnwerpers gezet, waardoor het Australian Cyber ​​Security Centre (ACSC) mogelijk ertoe is aangezet deze toe te voegen aan zijn invloedrijke Information Security Manual (ISM). De nieuwste editie van de ISM voegt een nieuwe controle toe "om ervoor te zorgen dat clients worden geverifieerd bij het aanroepen van webapplicatie-programmeerinterfaces die toegang vergemakkelijken tot gegevens die niet zijn geautoriseerd voor vrijgave in het publieke domein." 

Gericht op telecom

In het licht van datalekken in de telecommunicatiesector zullen aanvallers proberen voort te bouwen op dit momentum om providers uit te buiten die geen inzicht hebben in API's vanwege hun vele subbedrijven en partners. Naarmate telecombedrijven nieuwe technologieën toepassen en het bijbehorende gebruik van API's, zal het potentieel voor datalekken in deze bedrijven toenemen, met gevolgen voor miljoenen gebruikers en resulterend in diefstal, fraude en verstoring. 

Het goede nieuws

Hoewel sommige van deze voorspellingen somber of overweldigend kunnen lijken en het risico lopen de toch al overbelaste IT-beveiligingsteams te overbelasten, is er goed nieuws. Er zijn API-beveiligingsoplossingen beschikbaar die kunnen helpen om API's gedurende hun gehele levenscyclus te beschermen, door gebruik te maken van een gezamenlijke inspanning van ontwikkelaars, applicatie-eigenaren en het beveiligingsteam om het volgende te bereiken. Bij het selecteren van een oplossing moet het bedrijf letten op de levering van:

• Outside-in discovery: om inzicht te krijgen in de publieke API-voetafdruk en om te zien wat een aanvaller zou zien. 

• Inside-out inventaris: vult de externe weergave van de API's en gerelateerde bronnen aan met een uitgebreide inside-out API-inventaris, inclusief alle bestaande API's en verbindingen. 

• Nalevingsbewaking: analyseert voortdurend bestaande en nieuwe API's om ze in overeenstemming te houden met specificaties zoals de OpenAPI-specificatie en zorgt voor een hoge API-coderingskwaliteit, consistentie en governance. 

• Detectie van bedreigingen: Zelfs perfect gecodeerde API's kunnen worden aangevallen, dus het is van cruciaal belang om de volledige API-inventaris voortdurend te scannen op bedreigingen, inclusief subtiel misbruik van bedrijfslogica en kwaadaardige activiteiten die nog niet zijn waargenomen. 

• Bedreigingspreventie: het is van cruciaal belang om snel en native te kunnen reageren met tegenmaatregelen zoals waarschuwingen, real-time blokkering en zelfs misleiding, zonder de noodzaak van aanvullende gegevensbeveiligingstools van derden. 

• Voortdurende API-tests: Integratie van API-bescherming in ontwikkeling als aanvulling op API-beveiligingsinspanningen die zijn gedefinieerd door shift left-inspanningen binnen de organisatie, waardoor wordt voorkomen dat risicovolle code live gaat. 

We denken dat je het volgende leuk zult vinden:

Een afbeelding van , Nieuws, Wat staat ons te wachten voor API-beveiliging in 2023?

Ameya Talwalkar

In de afgelopen 10 jaar heeft Ameya Talwalkar sterke technische teams opgebouwd die gespecialiseerd zijn in bedrijfs- en consumentenbeveiliging in Silicon Valley, Los Angeles, Madrid, Pune en Chengdu. Voordat hij Cequence Security mede oprichtte, was hij Director of Engineering bij Symantec, waar hij verantwoordelijk was voor de anti-malwaresoftwarestack die gebruikmaakt van netwerkinbraakpreventie en gedrags- en reputatietechnologieën, en antivirusengines. Onder zijn leiding ontwikkelde Symantec een geavanceerde versie van netwerkinbraakpreventietechnologie die meer dan twee miljard bedreigingen per jaar blokkeert. Ameya heeft een Bachelor of Engineering in Electrical Engineering van het Sardar Patel College of Engineering (SPCE) van de Universiteit van Mumbai.

De kosten van levensonderhoud crisis.

TBT-redactie • 29 juni 2022

Wat communicatieserviceproviders kunnen doen om hun klanten te helpen het hoofd te bieden aan de crisis van de kosten van levensonderhoud. We kennen allemaal de ronkende marketingslogans van onze Britse communicatieserviceproviders - 'samen kunnen we', 'de toekomst is helder', 'het draait allemaal om jou'... maar helaas lijken deze niet langer waar te zijn voor de miljoenen consumenten...