Application Programming Interfaces, kortweg API’s, spelen een steeds crucialere rol in de digitale transformatie, omdat ze als verbinding dienen tussen diverse services en applicaties. Toch blijft de beveiliging ervan achter, vooral in vergelijking met andere vormen van digitale communicatie. Dat blijkt uit onderzoek van securitybedrijf F5.
Volgens F5 is minder dan 70 procent van de klantgerichte API’s beveiligd met HTTPS, het standaardprotocol voor veilige webcommunicatie. Dit staat in contrast met websites, waarvan inmiddels 90 procent HTTPS gebruikt. Het niet beveiligen van API’s verhoogt het risico op potentiële bedreigingen.
In zijn 2024 State of Application Strategy Report: API Security wijst F5 op belangrijke gaten in de beveiliging, vooral door de explosieve groei van het aantal API’s, waardoor zowel de bedrijfsvoering als de veiligheid van data in gevaar komen. ‘Met het toenemende gebruik van API’s in combinatie met AI-diensten, zoals OpenAI, worden nieuwe uitdagingen zichtbaar. API-beveiliging moet namelijk niet alleen focussen op inkomend verkeer, maar ook het uitgaande verkeer dat momenteel vaak onbeschermd blijft’, stellen de onderzoekers.
Public cloud
Volgens het rapport beheert de gemiddelde organisatie nu zo’n 421 API’s, waarvan de meeste in public cloud-omgevingen draaien. Toch blijft een groot deel van met name klantgerichte API’s onbeschermd. Dit komt volgens F5 voor een deel doordat de verantwoordelijkheid voor API-beveiliging in ondernemingen vaak gesplitst is. Bij 53 procent van de bedrijven valt deze onder de applicatiebeveiliging, terwijl 31 procent API-beveiliging aanpakt via integratieplatformen of API-managementtools.
Om de bestaande hiaten te dichten adviseert F5 organisaties om beveiligingsoplossingen te omarmen die de hele levenscyclus van API’s bestrijken. Dit houdt in dat zowel de ontwikkelings- als operationele fase moet worden meegenomen in de beveiligingsstrategie.
In samenwerking met Dutch IT Channel.
