API-sikkerhet: Vet du hva APIene dine driver med?

Dette blogginnlegget handler om API-sikkerhet (Application Programming Interface). Et tema som faller litt utenfor vår vanlige sfære – infrastruktursikkerhet. Transformasjonen vi ser for tiden – fra en klassisk applikasjonsmodell til en moderne måte å bygge applikasjoner på, basert på mikrotjenester og skytjenester – betyr at vi må utvide sikkerhetsverktøyene våre til å inkludere API-sikkerhet. Noe kan gjøres med ulike verktøy, noe må gjøres organisatorisk – forklaring følger.

Transformasjonen av applikasjonene:

APIer og API-kall er nøkkelkomponenter i moderne applikasjoner. De fleste IT-prosjekter i dag er drevet av forretningskrav. Dette betyr at vi møter prosjekter som digital transformasjon, skymigrering, mobilitet og applikasjonsutvikling. Løsningene bak denne typen prosjekter bruker veldig ofte APIer. Dermed bruker vi flere APIer enn noen gang før, APIene er alle veldig anvendelige, og de eksponerer mer data enn noen gang før.

APIer er den mest hypede angrepsflaten

I 2017 spådde Gartner at API-er ville være den hyppigste angrepsoverflaten innen utgangen av 2022. Den spådommen gikk imidlertid i oppfyllelse allerede i 2021. Stadig oftere ser vi overskrifter som handler om at API-sårbarheter har blitt utnyttet eller data har blitt lekket – et resultat av hyppigere hendelser kombinert med at mange bedrifter har havnet bakpå med å sikre sine APIer.

Utnyttelse av API-sårbarheter har vanligvis tre ulike konsekvenser.

Dataeksfiltrering, uautoriserte dataoverføringer eller datatyveri
Account Takeover, uautorisert eierskap av brukerkontoer
Tjenesteavbrudd og/eller datamanipulering

Dataeksfiltrering er selvfølgelig problematisk for ALLE bedrifter og organisasjoner. Som produksjonsbedrift er det en katastrofe hvis fabrikkhemmeligheter lekkes, og som en offentlig organisasjon er for eksempel en lekkasje av personopplysninger et betydelig problem. Tjenesteavbrudd er også et vanlig problem, uansett om du er en bedrift eller en organisasjon. Konsekvensene er mange, og de varierer fra økonomiske til livstruende.

Hvis din bedrift driver med e-handel så er Account Takeover et problem som kan få store konsekvenser. Mange kontoer har vanligvis et kredittkort knyttet til seg, og selv om de nettkriminelle kanskje ikke har direkte tilgang til kortinformasjon, kan de fortsatt foreta kjøp via brukerens konto dersom den har blitt kompromittert.

Som helseorganisasjon er du sannsynligvis bekymret for datamanipulering – forestillingen om at en nettkriminell kan endre testresultater for flere hundre pasienter er nesten utenkelig. Eksemplene jeg har tatt med her er selvsagt bare noen få blant mange.

Heldigvis har IT-sikkerhetsprodusentene fått øynene opp for temaet, men det har også ulike fellesskap som OWASP – Open Web Application Security Project – som er et nettsamfunn som produserer fritt tilgjengelige artikler, metoder, dokumentasjon, verktøy og teknologier innenfor webapplikasjonssikkerhet. OWASP sammenstiller og vedlikeholder en topp-10-liste over de mest relevante sikkerhetstruslene. Listen gir en viss felles konsensus angående API-sikkerhet, og det er grunnen til at de fleste sikkerhetsleverandører ofte refererer til OWASP10 når de plasserer løsningene sine. Siden listen er drevet av et fellesskap med mange bidragsytere, gir det god mening å se til den når du skal prioritere sikkerhetsarbeidet ditt. Jeg har angitt den siste OWASP10-listen nedenfor.

Selv om API-sikkerhet bare utgjør en liten del av det generelle sikkerhetslandskapet, er feltet fortsatt stort og komplekst. Men finnes det ikke mange verktøy der ute som kan hjelpe?

Hvilke verktøy kan brukes for å øke API-sikkerheten?

Det finnes selvsagt en rekke verktøy, men nye utfordringer krever nye metoder, og metodene består av både verktøy og nye tilnærminger til sikkerhet. Moderne applikasjoner (kontainerbaserte) bygges og kjøres i henhold til tre prinsipper Build, Deploy og Run(time). API-sikkerhet bør bygges inn i alle tre stadier.

Med fokus på en «shift-left»-tilnærming stilles det krav allerede i Build-fasen, det vil si der koden bygges. Utviklerne må fokusere på sikkerhet, bygge med sikker autentisering og så liten angrepsflate som mulig. Koden må selvsagt testes før den rulles ut. Det er også enklere og billigere å rette feil i Buildfasen enn i Runfasen.

Synlighet og nettverkssikkerhet er viktig i Deploy-fasen. Nettverket fungerer som den første forsvarslinjen for å hindre nettkriminelle i å nå workloads. Samtidig kan nettverkssikkerhet beskytte data mot å bli eksponert. Nettverket kan også forsinke angrep fra å spre seg internt øst-vest, med riktig implementert mikrosegmenteringsteknologi. Les mer om mikrosegmentering her.

På samme måte bør bedrifter og organisasjoner forbedre sin Runtime-kontainersikkerhet ved å sikre at abnormal atferd på nettverket oppdages. Dette krever selvfølgelig en dypere titt på datatrafikken – typisk ønsker du å undersøke trafikken i API-gatewayer, lastbalanserere eller lignende enheter. Kombinert med ML/AI og lignende typer teknologier vil det være mulig å oppdage abnormal atferd og på denne måten oppdage mer sofistikerte angrep.

Verktøy kan som nevnt ikke stå alene. Sikkerhet må bygges inn tidlig i prosessen (Build). Organisasjonen bør også bygges opp for å kunne reagere på hendelsene (Detect & Response) som kan oppstå i Deploy og Runtime.

Selvfølgelig er de riktige verktøyene også avgjørende for å øke API-sikkerheten. For oversiktens skyld har jeg samlet noen generiske eksempler på verktøy – proaktive og reaktive – i tabellen nedenfor.

	API Test og visibilitet	API Beskyttelse	API Tilgangskontroll
Funksjon	Test og identifikasjon av API-sårbarheter	Innholdsvalidering Threat Detection Throttling	Identitetssikkerhet Autentisering Autorisering
Teknologi-eksempler	Automatisert og kontinuerlig scanning av alle APIer Pre-prod kodescanning og angrepssimulering	Angrepssignatur Reputation kontroll Anomaly detection	OAuth 2.0 Web Tokens
Produktkategorier	Testverktøyer API-sikkerhetsløsninger	WAF API Management API-sikkerhetsløsninger	IAM-løsninger API Management

Leverandører som jobber med API-sikkerhet

Conscia representerer to leverandører, som alle har sitt syn på API-sikkerhet.

Cisco kjøpte Portshift i 2020 og har deretter omdøpt Portshift til Panoptica. Cisco-Panoptica forbedrer API-sikkerhet fra Build til Runtime. Panoptica har et felles brukergrensesnitt for kontainer, serverless, API, service mesh og Kubernetes-sikkerhet, og integreres med kjente CI/CD-verktøy på tvers av flere skyer.

Palo Alto Prisma Cloud er en paraply av omfattende sikkerhetsprodukter fokusert på skysikkerhet. Prisma Cloud har også et felles brukergrensesnitt. Den delen av porteføljen som dekker API-sikkerhet inkluderer IaaC-kodeskanning, webapplikasjon og API-sikkerhet (WAAS).

Conscia gir råd om API-sikkerhet på tvers av leverandører

Conscia er partner med Cisco og Palo Alto Networks. Våre sikkerhetskonsulenter har grundig opplæring og lang erfaring med produsentenes sikkerhetsløsninger. Har du spørsmål angående sikkerhetsløsninger, ta gjerne kontakt med oss.

Kilder:

owasp.org/www-project-top-ten/

Andre blogginnlegg

4 nettverksutfordringer og veien til en enkel og sikker nettverksløsning

Wi-Fi Trackingens forretningsfordeler

7 superkrefter Observability gir deg

Nye lanseringer fra Cisco Live EMEA 2024

Video AI – trussel eller mulighet?

Forretningskontinuitet: Slik sikrer du forsyningskjeden

Upgrading Cisco ISE from 3.1 to 3.2

Er du budd på det som kjem? Om hovudlause høns og IT-sikkerheit

Transformasjonen av applikasjonene:

APIer er den mest hypede angrepsflaten

Hvilke verktøy kan brukes for å øke API-sikkerheten?

Leverandører som jobber med API-sikkerhet

Conscia gir råd om API-sikkerhet på tvers av leverandører

Relevant innhold om samme tema

Fremtiden innen SSE og SASE

Webinar: AIs rolle i å fremme og bekjempe cybertrusler

Cybersikker24

Video AI – trussel eller mulighet?