Fråga: Hur kan organisationer se till att deras API:er är resistenta mot kompromisser, inför ökade API-baserade attacker?
Rory Blundell, grundare och VD för Gravitee: Företag av alla storlekar och inom alla branscher förlitar sig rutinmässigt på interna API:er för att förena sina branschappar, och på externa API:er för att dela data eller tjänster med leverantörer, kunder eller partners. Eftersom ett enda API kan ha tillgång till flera applikationer eller tjänster, är att äventyra API:et ett enkelt sätt att äventyra en bred uppsättning affärstillgångar med minimal ansträngning.
API:er har blivit en populär attackvektor, och frekvensen av API-attacker har ökat häpnadsväckande 681%, enligt senaste forskning från Salt Labs. Det första steget för att säkra dina API:er är att följa bästa praxis, till exempel de som OWASP rekommenderar att skydda mot vanliga API-säkerhetsrisker.
Grundläggande API-säkerhetspraxis räcker dock inte för att hålla IT-resurserna säkra. Företag bör vidta följande ytterligare steg för att skydda sina API:er.
1. Använd riskbaserad autentisering
Företag bör anta riskbaserade autentiseringspolicyer som gör det möjligt att upprätthålla säkerhetsskydd i fall av ökad risk. Till exempel kan en API-klient med en lång erfarenhet av att utfärda legitima förfrågningar som följer ett förutsägbart mönster kanske inte behöva gå igenom samma nivå av autentisering för varje begäran som en ny klient som aldrig har anslutit tidigare. Men om den långvariga API-klientens åtkomstmönster ändras – om till exempel klienten plötsligt börjar skicka förfrågningar från en annan IP-adress – skulle krävande strängare autentisering vara ett smart sätt att säkerställa att förfrågningarna inte kommer från en utsatt klient.
2. Lägg till biometrisk autentisering
Även om tokens fortfarande är viktiga som ett grundläggande sätt att autentisera klienter och förfrågningar, är de kan bli stulen. Av den anledningen är koppling av tokenbaserad autentisering med biometrisk autentisering ett smart sätt att förbättra API-säkerheten. Istället för att anta att alla som har ett API-token är en giltig användare, bör utvecklare designa applikationer så att användare också måste autentisera med fingeravtryck, ansiktsskanningar eller liknande metod, åtminstone i högre risksammanhang.
3. Framtvinga autentisering externt
Ju mer komplexa dina API-autentiseringsscheman blir, desto svårare är det att upprätthålla säkerhetskraven i själva applikationen. Av den anledningen bör utvecklare sträva efter att frikoppla API-säkerhetsregler från applikationslogik och istället använda externa verktyg, som API-gateways, för att upprätthålla säkerhetskrav. Detta tillvägagångssätt gör API-säkerhetspolicyer mer skalbara och flexibla eftersom de enkelt kan implementeras och uppdateras inom API-gateways, snarare genom applikationskällkod. Och viktigast av allt, det låter dig tillämpa olika regler på olika användare eller förfrågningar baserat på olika riskprofiler.
4. Balansera API-säkerhet med användbarhet
Det är viktigt att inte låta säkerheten bli användbarhetens fiende. Om du gör API-autentiseringsåtgärder för påträngande eller betungande, kan dina användare överge dina API:er, vilket är motsatsen till vad du vill ska hända. Undvik detta genom att se till att API-säkerhetsreglerna är strikta när det finns anledning att vara det, men utan att ställa onödiga krav.
Attacker inriktade på API:er visar inga tecken på att sakta ner. När utvecklare designar och säkrar API:er bör utvecklare gå längre än OWASP-rekommendationer för att göra det svårare att utnyttja API:n.
