Spørsmål: Hvordan kan organisasjoner sørge for at deres API-er er motstandsdyktige mot kompromisser, i møte med økte API-baserte angrep?
Rory Blundell, grunnlegger og administrerende direktør i Gravitee: Bedrifter i alle størrelser og på tvers av alle bransjer er rutinemessig avhengige av interne APIer for å forene sine bransjeapper, og på eksterne APIer for å dele data eller tjenester med leverandører, kunder eller partnere. Fordi et enkelt API kan ha tilgang til flere applikasjoner eller tjenester, er det å kompromittere APIen en enkel måte å kompromittere et bredt sett av forretningsressurser med minimal innsats.
API-er har blitt en populær angrepsvektor, og frekvensen av API-angrep har økt med en forbløffende 681%, ifølge nylig forskning fra Salt Labs. Det første trinnet i å sikre API-ene dine er å følge beste praksis, for eksempel de som OWASP anbefaler å beskytte mot vanlige API-sikkerhetsrisikoer.
Grunnleggende API-sikkerhetspraksis er imidlertid ikke nok til å holde IT-ressurser trygge. Bedrifter bør ta følgende ekstra trinn for å beskytte API-ene sine.
1. Bruk risikobasert autentisering
Bedrifter bør ta i bruk risikobaserte autentiseringspolicyer, som gjør det mulig å håndheve sikkerhetsbeskyttelse i tilfeller av økt risiko. For eksempel kan det hende at en API-klient med lang erfaring med å utstede legitime forespørsler som følger et forutsigbart mønster, ikke trenger å gå gjennom samme autentiseringsnivå for hver forespørsel som en ny klient som aldri har koblet til før. Men hvis den langvarige API-klientens tilgangsmønster endres - hvis for eksempel klienten plutselig begynner å utstede forespørsler fra en annen IP-adresse - vil det å kreve strengere autentisering være en smart måte å sikre at forespørslene ikke kommer fra en kompromittert klient.
2. Legg til biometrisk autentisering
Selv om tokens fortsatt er viktige som et grunnleggende middel for å autentisere klienter og forespørsler, er de kan bli stjålet. Av den grunn er det å koble tokenbasert autentisering med biometrisk autentisering en smart måte å forbedre API-sikkerheten på. I stedet for å anta at alle som har et API-token er en gyldig bruker, bør utviklere designe applikasjoner slik at brukere også må autentisere seg ved hjelp av fingeravtrykk, ansiktsskanninger eller en lignende metode, i det minste i kontekster med høyere risiko.
3. Håndheve autentisering eksternt
Jo mer komplekse API-autentiseringsskjemaene dine blir, desto vanskeligere er det å håndheve sikkerhetskravene i selve applikasjonen. Av den grunn bør utviklere strebe etter å koble API-sikkerhetsregler fra applikasjonslogikk og i stedet bruke eksterne verktøy, som API-gatewayer, for å håndheve sikkerhetskrav. Denne tilnærmingen gjør API-sikkerhetspolicyer mer skalerbare og fleksible fordi de enkelt kan implementeres og oppdateres innenfor API-porter, snarere gjennom applikasjonens kildekode. Og viktigst av alt, det lar deg bruke forskjellige regler på forskjellige brukere eller forespørsler basert på varierende risikoprofiler.
4. Balanser API-sikkerhet med brukervennlighet
Det er viktig å ikke la sikkerhet bli brukervennlighetens fiende. Hvis du gjør API-autentiseringstiltak for påtrengende eller tyngende, kan brukerne dine forlate API-ene dine, noe som er det motsatte av det du ønsker skal skje. Unngå dette ved å sørge for at API-sikkerhetsregler er strenge når det er en grunn til det, men uten å stille unødvendige krav.
Angrep rettet mot APIer viser ingen tegn til å bremse. Ved utforming og sikring av APIer bør utviklere gå utover OWASP-anbefalingene for å gjøre det vanskeligere å utnytte API-en.
