Snabbt ökande användning av APIer

Medför ökade säkerhetsrisker

• Fastlys undersökning visar att 92 procent av alla företag har haft API-relaterade säkerhetsproblem under de senaste tolv månaderna
• Nordiska beslutsfattare oroar sig för ej uppdaterade APIer och APIer som borde ha avvecklats – andelen är 65 procent
• En komplett säkerhetslösning från en leverantör som använder AI är en lösning

En ny undersökning gjord av Fastly, leverantör av en av världens största molnbaserade edgeplattformar, visar att de flesta beslutsfattare ignorerar stora säkerhetsrisker med APIer. Detta trots att API spelar en allt viktigare roll för många företag och organisationer. APIer (programmeringsgränssnitt) är sedan länge basen för den digitala ekonomin. Färska undersökningar visar att majoriteten av all internettrafik går via APIer.

Fastlys undersökning API Security 2024 omfattar 235 beslutsfattare inom IT och cybersäkerhet i tio europeiska länder, bland annat Sverige.

APIer favoritmål för brottslingar
Eftersom APIer används så mycket är de ett självklart mål för cyberbrottslingar som utför attacker. I Fastlys färska undersökning medger hela 84 procent av deltagarna att de inte har avancerade säkerhetslösningar för att skydda APIer. Det trots att hela 92 procent av deltagarna berättar att de råkat ut för säkerhetsproblem med APIer under de senaste tolv månaderna.

Hela 79 procent har senarelagt utrullning av nya integrationslösningar och applikationer på grund av oro för API-säkerhet. Lika många, 79 procent, anger att de lägger stor eller mycket stor vikt vid API-säkerhet. Som främsta anledningar till att satsningar på API-säkerhet inte genomförs, trots att de anses som viktiga, anges ”otillräcklig budget” och ”bristande expertis”.

”Vår breda undersökning visar att beslutsfattare vet att ett ökat beroende av APIer medför risker för allvarliga cyberattacker. Men hittills har den insikten inte lett till några insatser. Det är förvånande med tanke på att kostnaden för driftsproblem och dålig renommé som cyberattacker medför är mycket större än kostnaden för att implementera en konsoliderad säkerhetslösning för webbapplikationer och APIer från en leverantör”, säger Jay Coley, senior säkerhetsarkitekt på Fastly.

De viktigaste funktionerna
Som viktigaste funktion för en plattform för API-säkerhet anger deltagarna i undersökningen att kunna identifiera vilka APIer som hanterar data om privatpersoner och andra känsliga data. Det anger 43 procent. Andra viktiga funktioner är att kunna identifiera alla APIer, även om de är odokumenterade, vilket 40 procent anger. Därefter följer loggning och övervakning, med 28 procent. Ett problem som anges är svårigheten att upptäcka attacker mot APIer på grund av den stora volymen av meddelanden som kommer från äldre säkerhetslösningar.

Fastlys erfarenhet är att attacker som använder listor med stulna användaruppgifter, utnyttjande av affärslogik för brottsliga syften och överbelastningsattacker (DDoS-attacker) bara är några exempel på metoder som brottslingar använder. Färdig programkod och färdiga verktyg gör det enklare än någonsin tidigare att genomföra API-attacker. Äldre säkerhetslösningar har problem med att motverka sådana attackmetoder.

AI-lösningar för säkerhet kommer
En lovande lösning för att skydda APIer är att använda AI, men Fastlys experter har märkt att det saknas intresse för sådana. Endast 14 procent av företagen i undersökningen ser AI-lösningar som prioriterade delar av API-säkerhet. Men 58 procent av deltagarna tror att AI kommer att ha en stor eller mycket stor betydelse för API-säkerhet under de kommande 2-3 åren.

Skillnader mellan branscher och länder
En förvånande insikt av Fastlys undersökning är att deltagare från hårt reglerade branscher som hanterar känsliga data visar ett förhållandevis lågt intresse för API-säkerhet. Endast 80 procent av deltagarna från finanssektorn tycker att API-säkerhet är viktig eller mycket viktig. Det kan jämföras med 89 procent av deltagarna från grossister, detaljhandel och e-handel.

Deltagare från Norden visar också ett relativt svagt intresse. 73 procent anger att API-säkerhet är väldigt viktigt, vilket kan jämföras med ett medeltal på 79 procent för samtliga deltagare.

”Av de nordiska deltagarna oroar sig 65 procent för ej uppdaterade APIer och APIer som borde ha avvecklats. Medeltalet i undersökningen är 57 procent”, säger Jay Coley.

En intressant iakttagelse är att det finns skillnader beroende på hur hög ställning deltagarna har. 91 procent av cheferna i företagsledningar tycker att API-säkerhet är viktig eller mycket viktig. Andelen bland anställda säkerhetsexperter är bara 74 procent. En möjlig slutsats av det är att de som borde veta mest underskattar allvaret vad gäller hot mot APIer. En alternativ slutsats är att inställningen beror på att de dagligen konfronteras med en stor mängd olika typer av säkerhetshot.

Ladda ner hela rapporten API Security 2024 och få kunskap om hur företag och organisationer kan skapa säkra digitala miljöer på https://learn.fastly.com/api-security-study-24.html

2024-03-26 - Industritorget