25-08-2021

API’er har en alvorlig slagside

Virksomheder benytter i stigende grad de såkaldte API'er til at sammensætte deres digitale tjenester. Men den ultrahurtige adgang til kritisk data har en slagside – at risikoen kan blive større end gevinsten. Det indser nogle virksomheder først nu – endda på trods af et kendt angreb på Facebook i 2018, der burde have fået folk på dupperne, mener Barracuda.

Application Programming Interface – i daglig tale API’er – arbejder bag scenen i næsten alt, hvad man som forbruger eller virksomhed berører i det digitale rum. Det gælder alt fra datacentre til smartphones.

Fordelene er mange, fordi forskellige it-systemer kan tale sammen og skabe fantastiske synergieffekter, der øger effektivitet, sænker omkostninger og mindsker ressourcespild. Men hvis det går det for stærkt med at sætte API’en i stand, kan risikoen hurtigt blive større end gevinsten, fortæller Barracuda.

Hjemmearbejde har skabt et boom i efterspørgslen på databroer mellem programmer og cloudtjenester, så vi alle kan arbejde uagtet vores fysiske placering. Men disse API-løsninger konstrueres i højere grad med fokus på hastighed og funktionalitet end på sikkerhed. Det betyder desværre, at cyberkriminelle har fået nem adgang til forretningskritisk data – en konsekvens, der ikke er særlig nem at løse.

De fleste organisationer elsker API’er, men de har store udfordringer med at sikre dem ordentligt.

I en ny undersøgelse blandt 750 af Barracudas internationale kunder fortalte 72 pct., at deres organisation har oplevet mindst ét sikkerhedsbrud det seneste år. Og hele 40 pct. har oplevet mere end ét.

Også i medierne er historier om store datalæk også blevet hyppigere. Cyberkriminelle benytter bots, der skanner internettet for sårbarheder. Et nyere eksempel er Facebook, som i 2018 aktiverede en test-API med direkte adgang til interne datacentre uden at have styr på sikkerheden. Det resulterede i et datalæk, som berørte over 50 mio. brugere.

Forskellen på checks og mobilbank
Tænk på dengang, man anvendte checks. De, der er gamle nok, husker måske, at deres bedsteforældre gav dem pengegaver i form af checks. Herefter skulle man vente, til banken åbnede. Herefter aflevere sin check og så vente på, at en medarbejder skulle gennemgå en lang række informationer. Måske endda tale med en anden bank. Først efter adskillige dage ville pengene stå på kontoen.

I dag kan penge overføres på få sekunder via smartphonen. Det går hurtigt, men teknikken bag er ikke så simpel endda. En ufattelig mængde komplekse it-løsninger arbejder bag scenen for at gennemføre den ene transaktion – og alle de enkelte processer skal være beskyttet.

Der er ingen menneskelig indblanding – det er alt sammen håndteret af API’er. Derfor er der mange potentielle indgange for cyberkriminelle. API-baserede programmer er naturligt mere eksponerede end de webbaserede.

Når man scroller gennem sit Facebook-feed eller tjekker dagens aktiekurser, bliver en massiv mængde data streamet direkte fra et datacenter, som konstant tjekkes og opdateres med data – en datastrøm, som potentielt kan blive udsat for et angreb, hvis man ikke sikrer den godt nok.

Beskyt dine API'er
Uanset hvad man kalder truslen – zero day threats, bots, DDoS, supply chain compromise, credential stuffing eller noget helt andet – kan virksomheder gøre meget selv for at beskytte deres API’er. Og det bør være topprioritet hos alle virksomheder.

Det afgørende er, at din sikkerhedsløsning er skalérbar og anerkendt. Og har din virksomhed endnu ikke én, er det på tide at komme i gang, opfordrer Barracuda.



Nyheder fra forsiden
Til "Samfund"  
Leverandører
Ændre marked
Sverige Danmark
Tilbage til toppen
Luk

Abonner på vores nyhedsbrev!


Med vores nyhedsbrev kan du få de seneste nyheder fra sikkerhedsmarkedet. Nyhedsbrevet sendes ugentligt, og du kan afmelde dig, når du ønsker det.