API:er (Application Programming Interfaces) är en viktig del av strategier för digital transformation, och att säkra dessa API:er är en av de största utmaningarna. API:er är en snabbt växande attackyta som inte är allmänt förstådd och som kan förbises av utvecklare och applikationssäkerhetschefer.
Ta det från OWASP API Security Project: "API:er är en kritisk del av moderna mobil-, SaaS- och webbapplikationer och finns i applikationer som vänder sig till kunder, partners och internt. Av naturliga skäl exponerar API:er applikationslogik och känsliga data såsom personligt identifierbar information (PII) och har därför i allt högre grad blivit ett mål för angripare. Utan säkra API:er skulle snabb innovation vara omöjlig."
Återigen, från OWASP:
API Security fokuserar på strategier för att minska de unika säkerhetsriskerna med API:er. Traditionella sårbarheter är mindre vanliga i API-baserade appar:
API-säkerhet är viktigt eftersom företag använder API:er för att ansluta tjänster och överföra data, så ett hackat API kan leda till ett dataintrång.
I december 2021 rapporterade Cloudflare att API-anrop stod för 54% av de totala förfrågningarna och ökade med 21% från februari till december 2021. Angripare har uppmärksammat detta och ökat sitt fokus på API:er.
API-säkerhetstestning är en del av kärnfunktionerna i Gartners MQ för Application Security Testing.
API:er har blivit en viktig del av moderna applikationer (t.ex. enkelsidiga eller mobila applikationer), men traditionella AST-verktyg kanske inte kan testa dem fullt ut, vilket leder till krav på specialiserade verktyg och funktioner. Typiska funktioner är möjligheten att upptäcka API:er i både utvecklings- och produktionsmiljöer och testa API:ernas källkod, samt möjligheten att ta in inspelad trafik eller API-definitioner för att stödja testningen av ett API som körs.
OWASP tillkännagav nyligen API Security Top 10 Release Candidate. Läs mer om OWASP API Security Project. Här är topp 10:
Smartare, enklare skydd
Lås upp säkerhetstestning, sårbarhetshantering samt skräddarsydd expertis och support
Hitta och åtgärda säkerhetsproblem i ett tidigt skede med branschens mest exakta resultat
Identifiera sårbarheter i distribuerade webbapplikationer och -tjänster
Möjliggör enkel inloggning och åtkomstkontroll över mobila, molnbaserade och äldre plattformar