Bommen i mobilapper, skytjenester og nettapplikasjoner har ført til en bekymringsfull trend: Angripere retter seg i økende grad mot API-ene som ligger til grunn for dem. Bedrifter trenger verktøy for å sikre disse datarike koblingene, og CrowdStrikes kunngjøring om at de investerer i Salt Security fremhever den kritiske rollen API-sikkerhet spiller i nettapplikasjonssikkerhet.
APIer – applikasjonsprogrammeringsgrensesnitt – er allestedsnærværende i moderne bedrifter. Vurder følgende:
- En nettapplikasjon som viser et kart og stedsdata er avhengig av Google Maps API.
- En e-handelsapplikasjon som tilbyr flere betalingsalternativer, for eksempel "Betal med PayPal"-funksjonen, bruker en API.
- Forhandlere bruker APIer for å samarbeide med bud og leveringsselskaper for å sikre at pakken blir hentet og levert på riktig måte.
- Bedrifter kan sende programvare via API. Det er det Tesla gjør.
"API-er kobler sammen kritiske data og tjenester som driver dagens digitale innovasjon," sa Roey Eliyahu, administrerende direktør og medgründer i Salt Security, i en uttalelse.
Utviklere er avhengige av API-er for å koble applikasjonene sine til flere datakilder og tjenester for å bygge nye funksjoner og produkter uten å måtte starte fra bunnen av. For eksempel er det ikke mange organisasjoner som har ressurser eller data til å vedlikeholde detaljerte kart, men de trenger det ikke fordi Google Maps tilbyr informasjonen via et API. Men det faktum at APIer har tilgang til sensitive data og systemer gjør dem sårbare. Hvis API-en på en eller annen måte blir misbrukt, kan det avsløre de underliggende dataene og resultere i et datainnbrudd.
A feil i Peloton API tillot hvem som helst å trekke brukernes private kontodata direkte fra Pelotons servere, selv om en brukers profil var satt til privat. Det var en lignende situasjon som involverte et nettsted for finansiell utlån, hvor en lekk Experian API tillatt alle å slå opp kredittscore til noen andre med bare et navn og postadresse.
"Bedrifter produserer et enormt antall APIer med en hastighet som langt overgår modenheten til nettverks- og applikasjonssikkerhetspraksis," skrev Gartner-analytikerne Jeremy D'Hoinne og Mark O'Neill i en nylig "Gartner Predicts"-rapport om API-sikkerhet. "Sterk inventar og sanntidsoppdagelse er begge nødvendige for å få nok synlighet i alle APIer som organisasjonen produserer."
Fra et økonomisk perspektiv er CrowdStrikes investering fornuftig. API-sikkerhetsmarkedet forventes å vokse med 26.3 % mellom 2022 og 2032, ifølge forskning fra Future Market Insights tidligere denne måneden. Gartner anslår at API-angrep snart vil bli den mest hyppige angrepsvektoren for nettapplikasjoner.
I tillegg til investeringen sier CrowdStrike at de planlegger å samarbeide med Salt Security om sikkerhetstesting for å herde APIer og API-oppdagelse og kjøretidsbeskyttelse for applikasjoner.
