In einer app-zentrischen Umgebung betreiben die meisten Unternehmen API-Plattformen, die entweder selbst entwickelt wurden oder von einem Anbieter stammen. Doch in beiden Fällen fehlt es diesen Plattformen weitgehend an Sicherheitsfunktionen, und zwar sowohl an grundlegenden als auch an erweiterten Funktionen. Dies ist zumindest das Ergebnis einer kürzlich durchgeführten Ovum-Studie, die Sie unter folgender Adresse finden InfosecSecurity
"The use of APIs to enable applications to interact across single and multiple infrastructures is skyrocketing and innovation is fueled by companies finding new ways to monetize their software assets by exposing APIs to outside developers", said Rik Turner, senior analyst at Ovum. "Das Aussetzen von APIs gegenüber Entwicklern außerhalb des Unternehmens schafft jedoch erhebliche Risiken und APIs werden zu einem immer größeren Ziel für Cyberkriminelle. Diese Studie zeigt einen alarmierenden Mangel an Konsistenz und Eigentümerschaft auf, wenn es um die Sicherheit von APIs geht."
Die Mehrheit (83%) der Befragten gab an, dass sie sich mit API-Sicherheit befassten, weil API-Managementplattformen kritische Funktionen und Automatisierung vermissen ließen. Beispielsweise wurde das Milzlimit, das als grundlegende API-Sicherheitspraxis gilt, von weniger als der Hälfte der Befragten eingesetzt. Nur 21,9% der Befragten hatten Schutz vor böswilliger Nutzung von APIs, API-Entwicklerfehlern, automatisiertem API-Scraping sowie Web- und Mobile-API-Entführungen.
Und, mehr als zwei Drittel der Befragten verbrachten mehr als 20 Stunden pro Monat mit der Verwaltung von API Rate Limiting, was auf einen tiefen Automatisierungsmangel hinweist.
Weiterhin werden ein Drittel (30)% der APIs ohne jeglichen Input des IT-Sicherheitsteams herausgegeben und 27% der APIs durchlaufen die Entwicklungsphase, ohne dass das IT-Sicherheitsteam eingewilligt hat. Etwa ein Fünftel (21%) der APIs gehen ohne Input von Sicherheitsexperten live.
"APIs beeinflussen das Geschäft und die Welt um uns herum mehr als die meisten Menschen realisieren. Die Tatsache, dass API-Sicherheit unter dem Radar fliegt und nicht angemessen behandelt wird, sollte eine rote Flagge sein, die Organisationen dazu auffordert, ihre eigenen Praktiken zu überprüfen", sagte Rami Essaid, Mitgründer und CEO von Distil Networks, der die Umfrage sponserte. "CIOs und CISOs müssen einen Blick darauf werfen, wie die Verantwortung innerhalb ihrer Organisationen wahrgenommen wird, und entscheiden, ob der Prozess ausreichend robust ist."