À mesure que les API gagnent en importance, leurs problèmes de sécurité augmentent également

Les API (interfaces de programmation d’applications) ont reconstitué l’ADN d’Internet. À mesure qu’ils gagnent en importance sur la scène numérique, avec une estimation 200 million API publiques et privées déjà utilisées, leur utilisation ne devrait qu’augmenter à l’avenir.

Bien que les API aient fait leurs preuves, leur confiance aveugle a conduit à une certaine complaisance dans leur intégration, ce qui a conduit à des disparités majeures concernant leur sécurité.

Les chercheurs ont découvert que le manque de sécurité des API peut entraîner de 12 à 23 milliards de dollars de cyberpertes annuelles moyennes liées aux API aux États-Unis et de 41 à 75 milliards de dollars dans le monde.

Alors que les API s’intègrent comme un élément fondamental de notre monde numérique, il est important que les entreprises de tous les secteurs progressent en gardant les yeux grands ouverts non seulement sur les avantages des API, mais aussi sur les clauses de non-responsabilité qu’elles doivent connaître afin de se protéger tout en les employant. .

Examinons les principaux problèmes de sécurité des API en 2022 et comment les entreprises peuvent être sûres de s’y préparer.

Définir les vulnérabilités de sécurité de votre entreprise

L’un des défis des API est que de nombreuses entreprises en sont devenues dépendantes, et cette dépendance s’accompagne d’angles morts. La première chose proactive que les entreprises peuvent faire pour se préparer aux défis de sécurité est de définir quels sont ces angles morts, puis de construire des défenses en fonction de ces vulnérabilités.

Alors, comment définit-on un angle mort ? Commencer avec Top 10 des vulnérabilités de sécurité des API de l’OWASP est un bon début pour se familiariser avec les disparités courantes observées dans la sécurité des API. Cette liste peut aider les entreprises à définir les plus grandes catégories de vulnérabilités existantes et comment atténuer les risques pour chacune.

Heureusement, ces connaissances permettent de faire ce que l’on appelle les tests de sécurité des API, où les vulnérabilités et les erreurs peuvent être détectées dès les premières étapes. À ce stade, les entreprises peuvent étouffer les problèmes à long terme dans l’œuf, en évitant les griefs, les dépenses et, surtout, les violations de données sur la route.

Comprendre les différents systèmes qui sont affectés si une faille dans la sécurité des API est exploitée aidera les entreprises à définir le plan de récupération le plus approprié.

Concevoir votre API avec la sécurité au cœur

Les API, un peu par nature, évoluent rapidement car les équipes de développement doivent créer et mettre à jour des API pour suivre les réseaux en constante évolution. Cela crée de nouveaux défis pour les équipes de sécurité qui doivent constamment itérer les stratégies et les outils qu’elles utilisent pour protéger les services et les données critiques.

Dans un article du United States Cybersecurity Magazine, l’expert en cybersécurité Jeff Spivey a souligné l’importance d’une approche holistique pour sécuriser votre API. « La sécurité dès la conception garantit que la gouvernance et la gestion des risques de sécurité sont surveillées, gérées et maintenues de manière continue », déclare Spivey.

Lorsque nous pensons aux meilleures pratiques de sécurité des API Web, nous pensons souvent à simplement bloquer les activités malveillantes, mais la construction d’une infrastructure au sein de votre système d’API qui limite l’exposition des informations sensibles évite que ce cybercrime n’arrive à votre porte en premier lieu.

L’intégration des freins et contrepoids qui garantissent que les API n’exposent que la quantité de données nécessaire à leur fonctionnement est un moyen puissant d’éliminer les risques. L’évaluation des points de terminaison de l’API avant de mettre en œuvre des modifications majeures du code interne permet également de respecter les exigences de traitement des données et de ne pas compromettre la sécurité.

De telles actions génèrent contrôles d’accès qui permettent uniquement aux utilisateurs privilégiés d’accéder à des données confidentielles et aident également à suivre les données et à dissimuler des informations sensibles.

Une philosophie de confiance zéro

Avec 93% des cybercriminels Capables de franchir le périmètre des réseaux d’entreprise et d’accéder aux ressources réseau internes, un nouveau niveau dans les philosophies de sécurité devient apparent dans les cadres API. C’est là que la norme de Confiance zéro (ZT) entre en jeu.

La confiance zéro est le terme désignant un ensemble évolutif de paradigmes de cybersécurité qui déplacent les défenses des périmètres statiques basés sur le réseau pour se concentrer sur les utilisateurs, les actifs et les ressources. Cela amène les mesures de sécurité typiques de l’API, l’authentification et l’autorisation, à un autre niveau.

« La surface d’attaque a augmenté avec les API alimentant désormais les applications directement ou indirectement à l’intérieur et à l’extérieur du périmètre d’une entreprise », a déclaré Rakchith Rao, co-fondateur et PDG d’ApiWiz, une plate-forme APIOps Low Code. « Les problèmes de sécurité courants incluent l’authentification et l’autorisation cassées, la faible limitation du débit au niveau des ressources et de l’entité, et l’injection de code malveillant. »

L’authentification API est la restriction ou la suppression des utilisateurs qui abusent d’un framework API, tandis que l’autorisation se produit une fois l’identité confirmée et vérifie si les utilisateurs ou les applications ont l’autorisation d’accéder à l’API. Avec une architecture de confiance zéro (ZTA), des principes encore plus stricts sont appliqués lorsqu’aucune confiance implicite n’est accordée aux actifs ou aux comptes d’utilisateurs uniquement en fonction de leur emplacement physique ou réseau ou en fonction de la propriété des actifs.

« Il est préférable d’adopter un modèle de confiance zéro même au sein de votre entreprise, en construisant tout comme si cela allait être exposé », a poursuivi Rao. « Pour maintenir un contrôle d’accès précis au niveau des ressources et des champs, vous devez réduire les exploits et bien sûr, chiffrer vos données et filtrer les données entrantes pour réduire les vulnérabilités. »

Cette nouvelle philosophie tient compte du fait que l’informatique distribuée offre une surface d’attaque en constante expansion. Par conséquent, la planification de l’infrastructure et des flux de travail de l’entreprise doit supposer qu’aucun utilisateur final, périphérique informatique, service Web ou connexion réseau ne peut faire confiance.

Un avenir plus sûr pour les API

La sécurité future du paysage mondial des API dépendra de la manière dont les entreprises gèrent et, plus important encore, protègent l’ensemble Cycle de vie des API. En mettant en œuvre ces trois initiatives, les entreprises peuvent mieux garantir la sécurité de leurs données et utiliser les API en toute confiance.

A approche de l’API basée sur la plate-forme La gestion permet aux développeurs de créer un environnement contrôlé, en sécurisant des réseaux d’API résilients qui créent finalement un écosystème de confiance. Grâce à cette approche de « développeur centralisé », les capacités de conception, de construction, de test et de surveillance des API sont toutes verrouillées en un seul endroit, offrant une interface ouverte qui fait tout son possible pour empêcher les fuites de données.

Les API seront essentielles à la croissance du monde des affaires numériques en 2022 afin de maintenir le trafic causé par l’escalade des intégrations technologiques. Haut dans l’ensemble entreprises peut aider à ouvrir la voie au développement d’une source unique de vérité API en forgeant le prochain ensemble de principes de sécurité qui aide à protéger toutes les entreprises au sein de l’écosystème élargi.

Divulgation: Cet article mentionne un client d’une société du portefeuille Espacio.