API-säkerhet – den vanligaste attackytan:
– Vet du vad dina API:er gör?

Application Programming Interface, API-säkerhet blir alltmer en del av vår verksamhet – infrastruktursäkerhet. Idag ersätts klassiska applikationer av  applikationer baserade på  mikrotjänster och molntjänster. Programmeringsgränssnittet är den vanligaste attackytan. Förändringen betyder att Conscia utökar våra säkerhetsverktyg till API-säkerhet. Området kräver en kombination av verktyg och nya arbetsmetoder. Här förklarar vi mer.  

Så förändras applikationer:

Idag är de flesta IT-projekt affärsdrivna. Det innebär att vi hanterar projekt såsom digital transformation, molnmigrering, mobilitet och applikationsutveckling, där programmeringsgränssnitt och anrop till dem är nyckelkomponenter. Därmed använder vi fler API:er än tidigare – och får tillgång till mer data än någonsin förut.

Den vanligaste attackytan

2017 förutspådde Gartner att programmeringsgränssnitt skulle vara den vanligaste attackytan i slutet av 2022. Den förutsägelsen uppfylldes redan 2021. Allt oftare ser vi rubriker om hur sårbarheter i programmeringsgränssnitten har utnyttjas eller data läckt som ett resultat av mer frekventa incidenter samtidigt som många företag halkar efter när det gäller API-säkerhet.

Tre vanliga konsekvenser är:

  • Dataexfiltrering, otillåten dataöverföring eller datastöld
  • Kontoövertagande, obehörigt ägande av användarkonton
  • Tjänsteavbrott och/eller datamanipulation

Dataexfiltrering är givetvis problematiskt för ALLA företag och organisationer. Som tillverkningsföretag är läckta fabrikshemligheter ett affärshot. För en offentlig organisation är det en katastrof om personuppgifter sprids. Oavsett typ av organisation är tjänsteavbrott ett potentiellt hot, där konsekvenserna varierar från ekonomiska till livshotande.

Om ditt företag driver e-handel kan Account Takeover få stora konsekvenser. Många konton har ett kreditkort kopplat till sig. Även utan direkt tillgång till kortinformation kan cyberbrottslingar göra inköp via användarens konto.

Som vårdorganisation är datamanipulation ett potentiellt hot – att en cyberbrottsling skulle ändra testresultat för flera hundra patienter är otänkbart. Det här var bara några av många möjliga exempel.

Lyckligtvis har IT-säkerhetstillverkarna uppmärksammat ämnet liksom olika communities såsom OWASP (Open Web Application Security Project), som producerar fritt tillgängliga artiklar, metoder, dokumentation, verktyg och teknologier inom webbapplikationssäkerhet.

OWASP har tagit fram och uppdaterar en topp-10-lista på de mest relevanta säkerhetshoten.  OWASP10 ger viss konsensus när det handlar om API-säkerhet och de flesta säkerhetsleverantörerna hänvisar hit när de presenterar sina lösningar. Eftersom listan skapas av en community, som samlar erfarenheter från många organisationer, är det klokt att titta här när du prioriterar säkerhetsinsatser.

Den senaste versionen av OWASP:s lista ser ut så här:

API-säkerhet den vanligaste attackytan OWASP API-hot Conscia

Även om API-säkerhet bara är en liten del av hela säkerhetsmiljön är det ett stort och komplext område. Vilka verktyg finns som stöd?

Vilka verktyg ökar din API-säkerhet?

Det finns givetvis ett antal verktyg, men nya utmaningar kräver ofta metoder som kombinerar såväl verktyg som nya arbetssätt.

Moderna applikationer (containerbaserade) byggs och körs enligt de tre principer Build, Deploy och Run. API-säkerhet bör finnas i alla tre stegen.

Med ett «shift-left»-fokus ställs krav redan i Build-fasen, det vill säga där koden byggs. Utvecklarna måste fokusera på säkerhet och bygga med säker autentisering och så liten attackyta som möjligt. Koden ska givetvis testas innan den rullas ut. Det är betydligt enklare och billigare att åtgärda fel i Build-fasen än i Runfasen.

I Deploy-fasen är synlighet och nätverkssäkerhet viktigt. Nätverket är den första försvarslinjen som hindrar  cyberkriminella från att ta sig in. Nätverkssäkerhet kan också skydda data från att exponeras. Korrekt implementerad mikrosegmenteringsteknik kan även fördröja attackens spridning via laterala movement. Här kan du läsa mer om mikrosegmentering. 

Du behöver också nya arbetssätt. Säkerhet måste byggas in tidigt i processen (Build), och organisationen måste vara redo att agera på händelser (Detect & Response) som kan inträffa under Deploy- och Runtime.

I tabellen nedan finns proaktiva och reaktiva verktyg som kan hjälpa dig.

API-test och Visibilitet  API-skydd API-åtkomstkontroll
Funktion Test och identifiering av API-sårbarheter Innehållsvalidering

Threat Detection

Throttling

Identitetssäkerhet

Autentisering

Auktorisering

Teknikexempel Automatiserad och kontinuerlig scanning av alla API:er

Pre-prod kodskanning och attacksimulering

Attacksignatur

Reputation kontroll

Anomali-upptäckt

OAuth 2.0

Web Tokens

Produktkategorier Testverktyg

API-säkerhetslösningar

WAF

API Management

API-säkerhetslösningar

IAM-lösningar

API Management

 

Leverantörer som jobbar med API-säkerhet

Conscia representerar två leverantörer, med varsitt angreppsätt på API-säkerhet.

Cisco förvärvade Portshift 2020 och har sedan dess döpt om Portshift till Panoptica. Cisco-Panoptica förbättrar API-säkerhet från Build till Runtime. Panoptica har ett gemensamt användargränssnitt för container, server-, API-, service mesh och Kubernetes-säkerhet och integreras med kända CI/CD-verktyg över flera moln.

Palo Alto Prisma Cloud är ett paraply av säkerhetsprodukter som fokuserar på molnsäkerhet. Prisma Cloud har också ett gemensamt användargränssnitt. Den del av portföljen som täcker API-säkerhet inkluderar IaaC-kodskanning, webbapplikation och API-säkerhet (WAAS).

Conscia ger råd från två ledande leverantörer

Conscia har högsta partnerstatus hos Cisco och Palo Alto Networks. Våra säkerhetskonsulter har gedigen utbildning och lång erfarenhet av tillverkarnas säkerhetslösningar. Varmt välkommen att kontakta oss om du vill veta mer om säkerhetslösningar!

Hör med oss!

 

 

Kontakta oss!
Svar inom 24h