Vraag: Hoe kunnen organisaties ervoor zorgen dat hun API's bestand zijn tegen compromissen, in het licht van toenemende API-gebaseerde aanvallen?
Rory Blundell, oprichter en CEO van Gravitee: Bedrijven van elke omvang en in alle sectoren vertrouwen routinematig op interne API's om hun line-of-business-apps te verenigen, en op externe API's om gegevens of services te delen met leveranciers, klanten of partners. Omdat een enkele API mogelijk toegang heeft tot meerdere applicaties of services, is het compromitteren van de API een gemakkelijke manier om met minimale inspanning een breed scala aan bedrijfsmiddelen in gevaar te brengen.
API's zijn een populaire aanvalsvector geworden en de frequentie van API-aanvallen is verbazingwekkend toegenomen 681%, volgens recente onderzoek van Salt Labs. De eerste stap bij het beveiligen van uw API's is het volgen van best practices, zoals die welke OWASP beveelt aan om te beschermen tegen algemene API-beveiligingsrisico's.
Basispraktijken voor API-beveiliging zijn echter niet voldoende om IT-bronnen veilig te houden. Bedrijven moeten de volgende aanvullende stappen nemen om hun API's te beschermen.
1. Pas risicogebaseerde authenticatie toe
Bedrijven moeten een op risico gebaseerd authenticatiebeleid aannemen, waarmee beveiligingsmaatregelen kunnen worden afgedwongen in gevallen van verhoogd risico. Een API-client met een lange staat van dienst in het uitgeven van legitieme verzoeken die een voorspelbaar patroon volgen, hoeft bijvoorbeeld niet voor elk verzoek hetzelfde authenticatieniveau te doorlopen als een nieuwe client die nog nooit eerder verbinding heeft gemaakt. Maar als het toegangspatroon van de oude API-client verandert - als de client bijvoorbeeld plotseling verzoeken begint uit te geven vanaf een ander IP-adres - zou strengere authenticatie een slimme manier zijn om ervoor te zorgen dat de verzoeken niet afkomstig zijn van een gecompromitteerde client.
2. Voeg biometrische authenticatie toe
Hoewel tokens belangrijk blijven als basismiddel voor het authenticeren van clients en verzoeken, kunnen ze kan worden gestolen. Om die reden is het koppelen van op tokens gebaseerde authenticatie met biometrische authenticatie een slimme manier om de API-beveiliging te verbeteren. In plaats van aan te nemen dat iedereen die een API-token bezit een geldige gebruiker is, zouden ontwikkelaars applicaties zo moeten ontwerpen dat gebruikers zich ook moeten authenticeren met vingerafdrukken, gezichtsscans of een vergelijkbare methode, in ieder geval in contexten met een hoger risico.
3. Dwing authenticatie extern af
Hoe complexer uw API-authenticatieschema's worden, hoe moeilijker het is om beveiligingsvereisten binnen uw applicatie zelf af te dwingen. Om die reden moeten ontwikkelaars ernaar streven om API-beveiligingsregels los te koppelen van applicatielogica en in plaats daarvan externe tools, zoals API-gateways, te gebruiken om beveiligingsvereisten af โโte dwingen. Deze aanpak maakt API-beveiligingsbeleid schaalbaarder en flexibeler omdat ze eenvoudig kunnen worden geรฏmplementeerd en bijgewerkt binnen API-gateways, in plaats van via de broncode van de applicatie. En het belangrijkste is dat u verschillende regels kunt toepassen op verschillende gebruikers of verzoeken op basis van verschillende risicoprofielen.
4. Breng API-beveiliging in evenwicht met bruikbaarheid
Het is belangrijk om beveiliging niet de vijand van bruikbaarheid te laten worden. Als u API-authenticatiemaatregelen te opdringerig of omslachtig maakt, kunnen uw gebruikers uw API's verlaten, wat het tegenovergestelde is van wat u wilt. Voorkom dit door ervoor te zorgen dat API-beveiligingsregels strikt zijn wanneer daar een reden voor is, maar zonder onnodige eisen op te leggen.
Aanvallen gericht op API's vertonen geen tekenen van vertraging. Bij het ontwerpen en beveiligen van API's moeten ontwikkelaars verder gaan dan de OWASP-aanbevelingen om het moeilijker te maken om de API te exploiteren.
