Salt Security State of API Security Report: cybercriminelen richten zich steeds vaker op interne en geverifieerde API’s

Salt Security kondigt haar nieuwste Salt Labs State of API Security Rapport aan. Uit het onderzoek blijkt dat cybercriminelen hun activiteiten hebben opgevoerd. Salt Security zag maar liefst een toename van 400% in unieke aanvallen de afgelopen zes maanden. Ongeveer 80 procent van deze aanvallen vonden plaats via geverifieerde API’s. Het is dan ook niet verrassend dat bijna de helft (48%) van de respondenten aangeeft dat API-security een discussie op C-level is geworden binnen hun organisatie. Uit het onderzoek blijkt verder dat 94% van de respondenten het afgelopen jaar security problemen heeft gehad met productie API’s, 17% geeft aan dat hun organisatie te maken heeft gehad met een datalek als gevolg van kwetsbare API’s.

“De snelle toename van het aantal cyberaanvallen en de antwoorden van de respondenten toont aan dat ook de C-suite steeds vaker het belang van API-security ziet om bedrijfsrisico’s te verminderen,” aldus Roey Eliyahu, medeoprichter en CEO, Salt Security. “API’s blijven nieuwe zakelijke kansen en concurrentievoordelen opleveren. Echter kunnen API-inbreuken, zoals bij T-Mobile, Toyota en Optus, naast de bedrijfsvoering ook de merkreputatie in gevaar brengen. Nu cybercriminelen nieuwe en onverwachte manieren blijven vinden om API’s aan te vallen, moeten organisaties serieus werk maken van hun security.”

Volgens de respondenten zijn API-kwetsbaarheden niet alleen een securityprobleem geworden, maar ook een kritiek bedrijfsprobleem geworden voor de organisaties. Het zorgt voor vertragingen bij de uitrol van applicaties en een gebrek aan vertrouwen bij bestaande producten. Uit het onderzoek blijkt:

• Meer dan de helft van de respondenten (59%) geeft aan dat zij de uitrol van nieuwe applicaties hebben moeten vertragen vanwege zorgen over de API’s;
• Slechts 23% van de respondenten gelooft dat hun bestaande security aanpak zeer effectief is bij het voorkomen van API-aanvallen;
• 48% van de respondenten zegt dat API-security het afgelopen jaar een discussie op C-niveau is geworden. Dit percentage ligt nog hoger in sterk gereguleerde sectoren, zoals technologie (59%), financiële diensten (56%) en energie/ nutsbedrijven (55%).

De respondenten vertelde dat de volgende mogelijkheden voor API-security het meest belangrijk zijn:

• 44% van de deelnemers vindt het vermogen om aanvallen te stoppen het meest belangrijk;
• 44% investeert in API-security om te identificeren welke API’s, persoonlijk identificeerbare informatie of gevoelige data zijn blootgesteld;
• 38% noemt het voldoen aan eisen op het gebied van compliance of regelgeving het meest belangrijk;
• 22% van de deelnemers vindt het belangrijk om een shift-left toe te passen.

Aanvallers zijn meedogenlozer dan ooit
Uit het onderzoek van Salt blijkt dat API-aanvallen toenemen en dat slechte actoren zich richten op interne en geauthenticeerde API’s. Uit het onderzoek blijkt dat:

• 78% van de aanvallen afkomstig is van schijnbaar legitieme gebruikers, maar eigenlijk cybercriminelen zijn die op kwaadaardige wijze toegang hebben verkregen;
• 8% van de aanvalspogingen is gericht tegen interne API’s, die meestal volledig onbeschermd zijn;
• 4.845 unieke aanvallers waren actief in december 2022, een stijging van 400% ten opzichte van slechts zes maanden eerder.

‘Zombie API’s’ staan bovenaan de lijst van API-zorgen.
Aan de respondenten werd ook gevraagd welke API-beveiligingsrisico’s ze het meest zorgwekkend vinden:

• 54% van de respondenten zegt dat verouderde of ‘zombie API’s’ een grote zorg zijn, vorig kwartaal was dit nog 42%;
• 43% noemde account take-over (ATO) als een grote zorg;
• Slechts 20% noemde shadow API’s als grootste zorg. Gezien de uitdagingen op het gebied van API-documentatie zijn de meeste API’s niet gedocumenteerd, waardoor het risico waarschijnlijk groter is dan respondenten zich realiseren.

De meeste API-beveiligingsstrategieën blijven onvolwassen.
Uit het onderzoek blijkt dat de overgrote meerderheid van organisaties nog steeds geen volwassen API-security programma heeft:
• Slechts 12% van de respondenten vindt dat hun API-security programma’s te geavanceerd zijn en specifieke API-tests en runtimebescherming omvatten;
• 30% van de respondenten heeft geen huidige API-security strategie, ondanks het feit dat alle respondenten productie API’s hebben. Daarvan zegt 25% dat ze in de planningsfase zitten, terwijl 5% zegt dat er geen API-security plannen bestaan.

Kwetsbaarheden ‘in het wild’ vormen een ernstig probleem.
Grote en kleine bedrijven hebben veel onbekende security lekken. Uit het rapport blijkt:
• 90% van de door Salt Labs uitgevoerde onderzoeken brengen API-security kwetsbaarheden aan het licht. Maar liefst 50% van deze ontdekte kwetsbaarheden moeten als zeer ernstig worden beschouwd;
• 41% van de respondenten verklaarde dat zij een kwetsbaarheid in hun productie-API’s hadden ontdekt, een aantal dat sinds het eerste onderzoek schommelde tussen 39% en 55%, maar dat volgens Salt Labs in werkelijkheid waarschijnlijk veel hoger ligt.

Andere interessante bevindingen uit het State of API Security Report zijn:
• Slechts 18% van de respondenten zegt dat ze veel vertrouwen hebben in hun API-inventarissen en voldoende details hebben over hun API’s, persoonlijk identificeerbare informatie of gevoelige data.
• Organisaties blijven hun API’s bijwerken, 37% van de organisaties werkt hun API’s minstens wekelijks bij, tegenover 32% in Q3 2022. Slechts 9% werkt zijn primaire API’s dagelijks bij.
• OAS- en Swagger bestanden worden bij slechts 12% van de organisaties ten minste wekelijks bijgewerkt. 20% werkt de documentatie niet regelmatig bij en 23% ongeveer om de zes maanden.
• Ongeveer de helft van de respondenten (54%) zegt dat hun security team de OWASP API Security Top 10 onderzoekt.

Implicaties voor API-beveiliging
De onderzoeksresultaten van het State of API Security Report zijn duidelijk. De meeste respondenten geven aan dat de afhankelijkheid van API’s blijft toenemen, naarmate API’s steeds belangrijker worden voor het succes van hun organisaties. Tegelijkertijd zijn API’s steeds moeilijker te beschermen omdat het aantal aanvallen toeneemt en traditionele tools en processen deze niet kunnen tegenhouden. Organisaties moeten daarom de security maatregelen van gisteren en de tools van de laatste generatie achter zich laten. Ze kunnen beter overgaan op een moderne security strategie die iedere fase van de API-levenscyclus aanpakt en bescherming biedt die de samenwerking tussen teams bevorderen.

Het State of API Security Onderzoek is samengesteld door de onderzoekers van Salt Labs, de onderzoeksdivisie van Salt Security. Voor het onderzoek zijn 400 respondenten uit verschillende sectoren en landen ondervraagd. Bijna de helft van de ondervraagden (48%) heeft een security achtergrond, 19% is leidinggevende en nog eens 26% werkt in een platform-, DevOps- of productteam.

Het volledige rapport kunt u vinden in de bijlage of downloaden via: https://salt.security/api-security-trends