API-sikkerhed

API-sikkerhed håndteres alt for lidt af virksomheder

En ny undersøgelse fremhæver den udbredte karakter af API-sikkerhedshændelser og manglen på fulde opgørelser over potentielt farlige API’er.

En rapport udgivet i denne uge af OpinionMatters og bestilt af Noname Security fandt ud af, at mere end tre ud af fire senior cybersikkerhedsprofessionelle i USA og Storbritannien sagde, at deres organisation havde oplevet mindst en API-relateret sikkerhedshændelse inden for de sidste 12 måneder.

Et tilsvarende antal, 74%, sagde, at de ikke havde gennemført en komplet oversigt over alle API’er i deres systemer eller havde fuld viden om, hvilke der kunne returnere følsomme data. De mest almindelige sikkerhedshuller, der blev identificeret, var hvilende API’er – API’er, der tilsyneladende er blevet erstattet, men forbliver i drift – godkendelsessårbarheder og firewalls til webprogrammer.

Når det er sagt, sagde et stærkt flertal – 71% – også, at de var sikre på API-sikkerheden fra deres kommunikationstjenesteudbyder, hvilket ifølge Noname indikerer, at der er et niveau af selvtilfredshed på arbejdspladsen omkring

“Der er helt klart en afbrydelse mellem, hvad der sker i den virkelige verden, og organisatoriske holdninger til API-sikkerhed,” hedder det i rapporten. “Niveauet af malplaceret tillid omkring API-sikkerhed er uforholdsmæssigt højt i forhold til antallet og sværhedsgraden af API-relaterede overtrædelser. Dette peger på behovet for yderligere uddannelse af sikkerhed, [applikationssikkerhed] og udviklingsteams omkring realiteterne i API-sikkerhed.

Rapporten tilføjer, at digital transformation kun vil gøre API-sikkerhed vigtigere, som tiden går. Forfatterne citerede en Gartner-rapport, der sagde, at API-relaterede brud kunne blive den mest almindelige type sikkerhedshændelse fra i år.

Forsyningsselskaber, produktionssektorer har de største API-sikkerhedsproblemer

De mest sårbare industrier var ifølge undersøgelsen energi- og forsyningsselskaber samt fremstillingsvirksomhed – 78% af respondenterne i den førstnævnte industri rapporterede en form for API-brud i det foregående år samt 79% i sidstnævnte. Kun 19 % af respondenterne i energi- og forsyningsselskaber rapporterede, at de havde en fuld API-opgørelse eller fuld indsigt i, hvilke af deres API’er der var potentielle sårbarhedspunkter.

Britiske respondenter var lidt mere tilbøjelige til at have realtidsindsigt i deres potentielle API-sårbarheder samt en bedre fornemmelse af den samlede API-beholdning – 14% af britiske respondenter rapporterede realtidstest, hvor kun 8% af amerikanske brugere sagde det samme, og 28% sagde, at de fuldt ud havde opgjort deres API’er og potentielt følsomme data sammenlignet med 24% for amerikanske respondenter.

Kilde: CSO

Foto: Pexels

Scroll til toppen