Zombie-API’s: Risico’s en oplossingen voor moderne bedrijven

Betrouwbaarheid

Application Programming Interfaces (API’s) zijn een van de kerntechnologieën waarmee apps kunnen communiceren in moderne cloudomgevingen.

Maar hoewel API’s essentieel zijn voor het ondersteunen van communicatie tussen apps, zijn ze ook een van de meest voorkomende targets van het aanvalsoppervlak.

Volgens Noname Security heeft de gemiddelde organisatie 15.564 API’s in haar omgeving. Dit aantal is zo hoog dat de meeste organisaties geen zicht hebben op deze componenten, waardoor ze openstaan voor uitbuiting door hackers.

Uit hetzelfde onderzoek bleek dat 54% van de organisaties verouderde/zombie-API’s als hun grootste zorg noemt. Deze zorgen zijn niet alleen theoretisch: 41% van de bedrijven heeft in 2022 te maken gehad met een API-inbreuk.

Een jaar eerder vond een van de meest spraakmakende voorbeelden van een API-gerelateerde inbreuk plaats nadat hackers misbruik maakten van een Twitter API-kwetsbaarheid om toegang te krijgen tot de gegevens van meer dan 5 miljoen gebruikers.

Maar wat maakt zombie-API’s tot zo’n grote bedreiging?

Hoe zombie-API’s terugkomen om bedrijven te kwellen

Zombie-API’s zijn API’s die zijn ingezet in een omgeving die niet langer in gebruik is of niet langer wordt onderhouden. Kwaadwillenden kunnen zombie-API’s dus als backdoor gebruiken om toegang te krijgen tot gevoelige gegevens.

Een deel van de reden voor de bezorgdheid over zombie-API’s is dat er te veel API’s in moderne cloudomgevingen zijn voor beveiligingsteams om bij te houden. In de praktijk betekent dit dat organisaties in het duister tasten over hun blootstelling aan bedreigingsactoren.

Vanwege hun vergeten aard worden zombie-API’s niet regelmatig getest, gepatcht of bijgewerkt, wat leidt tot een groter aanvalsoppervlak,” vertelt CSO en medeoprichter van StackHawk, Scott Gerlach, aan Techopedia.

Gerlach merkt op dat de toegenomen migratie naar de cloud heeft geleid tot een toename van het aantal API’s, die veel organisaties niet aan beveiligingstests onderwerpen.

Dit is zelfs nog problematischer als je bedenkt dat veel API’s directe toegang hebben tot gegevens, dus als ze in gevaar worden gebracht, kunnen ze enorme hoeveelheden data blootleggen.

“De technische schuld die gepaard gaat met deze API’s kan onbewust worden gekoppeld aan andere onderdelen van kritieke systemen, wat kan leiden tot andere operationele complexiteit en risico’s voor de stabiliteit van nieuwere systemen.”

Dus tenzij een organisatie investeert in tools om API’s automatisch te ontdekken, zullen ze niet in staat zijn om te weten welke API’s er in de omgeving bestaan, of om actie te ondernemen om ze te onderhouden.

Zombie-API’s aanpakken

Op een hoog niveau kunnen organisaties zombie-API’s aanpakken door geautomatiseerde scans uit te voeren met een API-kwetsbaarheidsscanner, die automatisch API’s kan ontdekken en inventariseren. Het maken van een inventaris van API’s kan beveiligingsteams een beter inzicht geven in hun beveiligingsstatus.

Gerlach suggereert echter dat communicatie de belangrijkste oplossing is om de risico’s van zombie-API’s te beperken.

“Om het risico van zombie-API’s en andere API-gerelateerde bedreigingen te minimaliseren, moeten organisaties open communicatielijnen met ontwikkelaars en beveiligingsteams aanmoedigen en toepassen.

“Beide kanten van API-beveiliging moeten begrijpen dat ze de verantwoordelijkheid delen voor het documenteren en depreciëren van software die niet langer in gebruik is. Zonder goede en constante communicatie tussen ontwikkelaars en beveiligingsteams kunnen zombie-API’s actief en onbekend blijven, waardoor de infrastructuur van organisaties kwetsbaar wordt.”

Dit benadrukt dat zowel softwareontwikkelaars als beveiligingsteams een rol hebben in het bepalen of een API noodzakelijk is voor de activiteiten van een organisatie of gesloten moet worden om potentiële kwetsbaarheden te elimineren.

Andere stappen, zoals het gebruik van zelfdocumenterende code, die alle API’s documenteert, kunnen een kader bieden voor het testen en verhelpen van bugs en kwetsbaarheden in de hele omgeving.

De kern van de zaak

Zombie-API’s brengen aanzienlijke risico’s met zich mee, maar organisaties die tijd en geld investeren in het inventariseren van API’s kunnen de kans op een datalek drastisch verkleinen.

Door een inventarisatie van API’s te maken, kunnen beveiligingsteams en ontwikkelaars beginnen met het identificeren van componenten die niet nodig zijn en actie ondernemen om ze te verwijderen.

Gerelateerde begrippen

Tim Keary
Editor
Tim Keary
Redacteur

Sinds januari 2017 is Tim Keary een freelance technologieschrijver en verslaggever die zich bezighoudt met bedrijfstechnologie en cyberbeveiliging.