Onderzoek Salt Security: 94% van de organisaties ondervindt security incidenten tijdens de ontwikkeling van API's

Salt Security, marktleider op het gebied van API security, kondigt zijn ‘Salt Labs State of API Security Rapport, Q3 2022’ aan. Uit het tweejaarlijkse rapport blijkt dat 94% van de respondenten het afgelopen jaar security problemen heeft gehad tijdens de ontwikkeling van API's. Maar liefst 20% van de organisaties ondervond zelfs een datalek vanwege onveilige API's. Uit het rapport blijkt verder dat het kwaadaardig API verkeer de afgelopen 12 maanden is verdubbeld.

Uit het Q3 2022 rapport blijkt dat klanten van Salt Security een toename zagen van 117% in hun API aanvalsverkeer, terwijl hun totale API verkeer met 168% groeide. Dit benadrukt de aanhoudende explosie van enterprise-API's. Het kwaadaardige API verkeer nam 2,1% van het totale verkeer voor zijn rekening. De pogingen tot API aanvallen verschoven het afgelopen jaar van gemiddeld 12,22 miljoen kwaadaardige incidenten per maand, naar gemiddeld 26,46 miljoen incidenten. Maar liefst 44% van de Salt klanten krijgt iedere maand gemiddeld 11 tot 100 aanvalspogingen, 34% ontvangt meer dan 100 pogingen per maand en 8% ziet meer dan 1000 aanvallen.

Het ontwikkelen van een krachtige API beveiligingsstrategie is van cruciaal belang, aangezien 61% van de respondenten nu meer dan 100 API's beheert. Als belangrijke bedrijfsonderdelen afhankelijk zijn van API's, kunnen bedrijven geen vertragingen of downtime oplopen. Toch geeft meer dan de helft van de respondenten aan dat de uitrol van nieuwe applicaties vertraging opliep vanwege zorgen over de security van hun API’s.

"Digitalisering heeft ervoor gezorgd dat organisaties steeds meer afhankelijk zijn van API's om nieuwe diensten te leveren en beter te kunnen concurreren. Deze focus op digitale innovatie heeft organisaties ook een interessant doelwit gemaakt voor cybercriminelen," aldus Roey Eliyahu, medeoprichter en CEO van Salt Security: "API aanvallen nemen bovendien ieder jaar toe, waardoor het ons niet verbaast dat beveiliging de belangrijkste prioriteit is bij API strategieën. De uitkomsten van het rapport tonen ook de noodzaak aan voor een robuustere API beveiligingsstrategie.”

API beveiligingsplatforms moeten vooral aanvallen stoppen

Op de vraag wat het ‘belangrijkste kenmerk’ moet zijn bij een API beveiligingsplatform, gaf 41% aan dat een platform met name aanvallen moet stoppen. De mogelijkheid om te identificeren welke API's PII of gevoelige data blootleggen, kwam op de tweede plaats (40%). Het voldoen aan regelgeving kwam op de derde plaats (39%). Het toepassen van shift-left testen kwam onderaan de lijst, slechts 22% van de respondenten vindt dit zeer belangrijk.

Shift-left strategieën zorgen voor risico’s
Organisaties die alleen shift-left testen toepassen blijven hun API's blootstellen. Maar liefst 94% van de respondenten, die alleen tijdens het testen op zoek ging naar API problemen, heeft nog steeds te maken met API security incidenten. Dit wijst erop dat organisaties zich meer moeten richten op runtime bescherming. In het rapport zegt slechts 30% van de respondenten dat ze API incidenten tijdens runtime identificeren en verhelpen. Maar om volledig te beschermen wat al draait in hun omgevingen, hebben organisaties runtimebeveiligingscapaciteiten nodig.

54% heeft vertraging opgelopen vanwege zorgen over hun API beveiliging
Meer dan de helft van de respondenten (54%) gaf aan dat ze bij uitrol van nieuwe applicaties vertraging hebben opgelopen vanwege hun zorgen over de API security. Slecht API design en security practices liggen vaak aan de basis van gevoelige PII datalekken. Bijna een derde van de respondenten geeft toe dat ze het afgelopen jaar te maken hebben gehad met blootstelling aan gevoelige gegevens of een privacy incident binnen hun API productie. Dit is een forse stijging ten opzichte van de 19% van vorig jaar. Binnen het klantenbestand van Salt heeft 91% van de API's enkele PII of gevoelige gegevens blootgelegd. Het is daarom voor organisaties absoluut noodzakelijk om te weten hoe en waar data worden verzonden, zodat ze hun API's het best kunnen beschermen.

Verouderde - 'zombie API’s’ grootste zorg
De respondenten gaven verder aan dat het niet genoeg investeren in pre-production security (20%) en het niet adequaat aanpakken van runtimebeveiliging (18%) hun grootste zorgen waren bij hun API strategie. Toen er werd gevraagd naar de meest relevante API security risico's, gaf 42% aan dat verouderde of 'zombie API’s’ hun grootste zorg zijn. Account takeovers (15%) en onbedoelde blootstelling van gevoelige informatie (15%) waren de op één na grootste zorgen. De zorgen over ‘shadow API’s’, oftewel onbekende API's, zijn de afgelopen zes maanden gestegen van 5% naar 11%.

82% gelooft dat hun bestaande tools erg effectief zijn in het voorkomen van API aanvallen.
Net als in eerdere onderzoeken zeiden respondenten dat ze voornamelijk vertrouwen op traditionele tools om API's te beheren en te beschermen tegen applicatie aanvallen. De meeste respondenten vertrouwen op API gateways (54%) en WAF's (44%) om aanvallen te identificeren. De gaps van traditionele tools wordt onderstreept door de respondenten. Maar liefst 82% gelooft niet dat hun bestaande tools erg effectief zijn in het voorkomen van API aanvallen.

Meerderheid (61%) geen of slechts basis API beveiligingsstrategie
Een aanzienlijke meerderheid van de respondenten (61%) gaf toe dat ze geen of slechts een basis API beveiligingsstrategie hebben. Dit is een punt van zorg gezien organisaties steeds meer afhankelijk zijn van API’s. Ondanks dat alle respondenten API's in productie hebben, geeft slechts een klein percentage (9%) aan dat ze een geavanceerde API strategie hebben die speciale API tests en -bescherming omvat. De belangrijkste redenen voor het ontbreken van een robuuste API strategie zijn budget (24%), expertise (20%), middelen (19%) en tijd (11%).

De overige bevindingen uit het State of API Security Rapport zijn:

• 91% van de API's die binnen het klantenbestand van Salt draaien, stellen PII of gevoelige gegevens bloot;
• API wijzigingen nemen toe - 11% van de respondenten werkt hun API's dagelijks bij, 31% doet dit wekelijks en 24% minder vaak dan iedere maand;
• Ongeveer de helft van de respondenten (55%) zegt dat hun beveiligingsteam de OWASP API Security Top 10 controleert. Dit is een daling van 61% vergeleken met zes maanden geleden;
• 86% van de respondenten heeft geen vertrouwen dat hun API inventaris compleet is, en 14% geeft toe niet op de hoogte te zijn van welke API's PII blootleggen
• 64% van de respondenten zegt dat API security zorgt voor een betere samenwerking tussen DevOps en security teams

Over het onderzoek
De conclusies van het onderzoek zijn duidelijk. De respondenten gaven aan dat de afhankelijkheid van API's blijft groeien naarmate API's steeds belangrijker worden voor het succes van hun organisatie. Echter kunnen de huidige beveiligingstools en -processen geen gelijke tred houden met nieuwe API protocollen en aanvalstrends. API verkeer en gebruikstrends binnen het klantenbestand van Salt bevestigen deze waarnemingen.

Het State of API Security Rapport is ontwikkeld op basis van een enquête onder professionals en empirische data van de Salt Security Cloud Service. Voor het onderzoek zijn meer dan 350 IT-professionals ondervraagd. Bijna de helft van de ondervraagden (49%) heeft een security functie, 19% is leidinggevende op het gebied van security of IT en nog eens 21% is onderdeel van een DevOps- of productteam. Technologiebedrijven en financiële dienstverleners, worden over het algemeen beschouwd als de voorlopers van het gebruik van API's, zij vormen dan ook 47% van de respondenten.

Het volledige onderzoeksrapport kunt u downloaden via: https://salt.security/api-security-trends