Programmeringsgränssnitt, eller API:er (application programming interfaces), har blivit en mycket viktig del av nätverk, program, applikationer, enheter, och i stort sett allt annat inom it-landskapet. Det här är speciellt sant för molnet och mobiltekniken, vilka knappast hade kunnat existera i sina nuvarande former utan de API:er som håller ihop allting och hanterar mycket av funktionaliteten i bakgrunden.
Mycket tack vare att de är pålitliga och enkla finns API:er i stort sett överallt inom it. De flesta organisationer vet förmodligen inte ens hur många API:er de har inom sina nätverk, och speciellt inom sina molntjänster. Det finns förmodligen tusentals API:er inom större organisationer, och även mindre organisationer lutar sig mot API:er i högre utsträckning än de tror.
Faran med API:er
Hur användbara API:erna än blivit, har användandet av dem också skapat en fara. Eftersom de finns få standarder för hur man skapar API:er, och på grund av att många är unika, är det inte ovanligt att API:er innehåller sårbarheter som kan exploateras. Kriminella har insett att det ofta är mycket enklare att attackera API:er än att mer direkt ge sig på program, databaser, applikationer eller nätverk. När de väl kommit in är det inte svårt att ändra API:ets funktionalitet och göra det till en slags kappvändande insider som jobbar för hackaren.
Den andra stora faran med API:er är att de nästan alltid har för stora systemrättigheter. Utvecklare ger API:erna höga rättigheter så att de kan utföra sina funktioner utan avbrott. Men om en angripare tar sig in kan de utnyttja de höga rättigheterna för att göra andra saker, ungefär som de tillskansat sig en människas administratörsrättigheter. Det här har blivit ett så stort problem att undersökningar från Akamai säger att API:er ligger till grund för 75 procent av alla stölder av inloggningsuppgifter världen över.
Ökningen av säkerhetsverktyg för API:er
Giver hur allvarligt problemet med API-hacking är, kommer det knappast som en överraskning att antalet säkerhetsverktyg för API:er har blommat upp under senare år. Det finns dussintals kommersiella verktyg utvecklade för att skydda API:er och därtill hundratals gratis- eller öppen källkods-verktyg. Många delar likheter och funktionaliteter med andra typer av säkerhetsverktyg, men är istället specifikt konfigurerade för API:ernas unika natur.
Generellt faller API-verktyg in i en av flera kategorier, fast vissa erbjuder kompletta plattformar som försöker göra allt på en gång. De mest populära säkerhetsverktygen för API:er i dessa dagar är de som skyddar mot skadliga förfrågningar, ungefär som brandväggar för API:er.
Andra verktyg är framtagna för att dynamiskt anropa och utvärdera specifika API:er för att hitta sårbarheter i dess kod som sedan kan härdas mot attacker. Ytterligare andra skannar helt enkelt en miljö så att organisationen kan upptäcka hur många API:er det finns inom deras nätverk, med idén om att ingen kan skydda något de inte känner till.
Med tanke på hur många säkerhetsverktyg för API:er det finns är det svårt att sätta ihop en komplett lista. Men genom att studera både användar- och kommersiella recensioner, börjar vissa verktyg sticka ut. Nedan listas några av de bästa, tillgängliga verktygen som hjälper till att skärpa till API-säkerheten, tillsammans med korta beskrivningar av deras styrkor och funktioner. Hundratals verktyg kommer inte in på listan, men den borde utgöra en god överblick av vad som finns att tillgå och vad som är möjligt för att skydda API:er mot dagens växande hotbild.
Här kommer nio av de bästa säkerhetsverktygen just nu.
APIsec
En av de mest populära säkerhetsverktygen för API:er är APIsec, som är nästan helt automatiserad, och alltså perfekt för organisationer som ligger i startgroparna för att komma igång med API-säkerhet. I en produktionsmiljö, med redan existerande API:er, kommer APIsec att skanna igenom dem och testa dem mot vanliga sårbarheter, exempelvis injektering av skript.
Men verktyget kommer också köra kompletta stresstest mot varje API för att säkerställa att de är härdade mot sådant som attacker mot affärsprocesser som inte är så lätta att upptäcka. Om verktyget hittar problem blir dessa flaggade tillsammans med detaljerade rapporter för analytiker att sätta tänderna i.
APIsec kan också användas proaktivt av utvecklare när API:erna skapas. På det sättet kan sårbarheterna mosas innan API:et sätts i produktion, och där APIsec kan fortsätta att hålla koll på saker och ting efter att API:et sjösatts. Bara ifall.
Astra
Gratisverktyget Astra har begränsad support och användarna måste hämta det från Github för att installera det i sina miljöer. Med det sagt har verktyget ett högt anseende för att hjälpa till med att hantera och skydda API:er av en mycket specifik typ.
Astra koncentrerar sig nästan helt på REST-API:er (Representational State Transfer) som kan vara extremt svåra att testa och säkra upp eftersom de ofta ändras. Astra hjälper till genom att integrera sig med en organisations CI/CD-flöde (Continuous Integration and Continuous Delivery). Det ser till att de vanligaste sårbarheterna som kan påverka API:er inte smyger sig tillbaka in i de förment säkra REST-API:erna när de hela tiden förändras som en del av funktionaliteten.
AppKnox
AppKnox är känt för att tillhandahålla ett starkt stöd för sin användarbas. Plattformen har redan från början ett mycket lättanvänt gränssnitt, men företaget erbjuder även en hel del hjälp med installation och administration. AppKnox har hittat in i många organisationer med små säkerhetsteam eftersom det stödjer införandet av API-säkerhet med minimal ansträngning.
När det väl är installerat kommer AppKnox testa API:er för vanligt förekommande problem som sårbarheter i http-förfrågningar, öppningar för sql-injekteringar, och många andra problem. Verktyget skannar också alla resurser som är kopplade mot API:er för att säkerställa att de inte blir tänkbara attackvägar för hackare.
Cequence Unified API Protection
Plattformen Cequence Unified API Protection är framtagen för organisationer som rullar ut miljöer för stora företag som kan behöva hantera miljardtals förfrågningar mot deras API:er varje dag. Den skalbara skyddsplattformen börjar med att hitta alla organisationens API:er och lägger in dem i en omfattande inventarielista.
Efter det kan API:erna testas för sårbarheter eller så kan säkerhetsteamen definiera specifika tester som kan köras mot grupper av API:er. Detta är extremt hjälpsamt inte bara för att säkra upp API:er, men också för att hjälpa till med att efterleva regulatoriska krav som kräver att specifika skydd finns på plats.
Det som ytterligare understödjer Cequences fokus på stora företag är förmågan att införa automatiserade skydd eller handlingar som som bör tas som svar på attacker eller misstänkta interaktioner med ett API. Eftersom Cequence klarar detta på egen hand behöver man inte inkludera externa säkerhetsenheter, som brandväggar, för att aktivera detta skydd. Det minskar belastningen på dessa externa enheter och minskar responstiden så ett API får ett nästan omedelbart skydd mot aktiva hot.
Data Theorem API Secure
Data Theorem API Secure kan inventera varje API som finns inom nätverk, moln, applikationer eller andra måltavlor. Det gör verktyget till ett utmärkt val för organisationer som vill stärka deras API-säkerhet, men som inte vet var de ska börja eller ens hur många API:er de använder. API Secure håller även API-inventariet uppdaterat, och hittar snabbt alla nya API:er som rullas ut.
När API:erna väl hittats kommer API Secure, likt en hackare, att testa varje API för sårbarheter. Det kan sedan flagga ett API så att en människa kan undersöka det, eller laga många sårbarheter på egen hand.
Salt Security API Protection Platform
Salt Security API Protection Platform är extremt avancerat och var en av de första att dra nytta av AI-tekniken och maskininlärning för att upptäcka och stoppa hot mot API:er. Plattformen gör detta genom att samla in API-trafik från hela nätverket, analysera vilka anrop som görs mot API:erna och hur de svarar. Verktyget jämför sedan vad det ser lokalt med trafikdata som lagras i en molnbaserad ”big data”-motor. Verktyget kan sedan stoppa de flesta attacker och markera misstänkt aktivitet, och varna säkerhetsteamen eller vidta åtgärder baserat på dess inställningar.
Plattformen fortsätter att lära sig över tid och ju längre det analyserar ett nätverk med API:er, desto med träffsäkert blir det på att avgöra vad som är ett accepterat beteende på det specifika nätverket.
Noname Security
Noname Security har skaffat sig ett gott rykte bland stora företag med enorma företagsmiljöer. Verktyget används enligt rapporter bland 20 procent av företagen på Fortune 500-listan över världens största företag. Verktyget är framtaget för att klara mer än de vanliga sårbarhetskontrollerna för API:er som erbjuds av vissa plattformar genom att analysera trafiken som går genom API:erna. Det hakar sedan in i AI och maskininlärning för att leta efter skadliga aktiviteter.
Noname Security stödjer användandet av både vanliga och icke-standard-API:er i sina tester. Verktyget har till exempel fullt stöd för API:er av typerna HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC och gRPC. Genom att dra nytta av trafikdata kan verktyget till och med hitta, katalogisera och skydda API:er som inte hanteras av en API-gateway, eller hemmasnickrade API:er som inte följer några standardprotokoll.
Smartbear ReadyAPI
Smartbear ReadyAPI koncentrerar sig på utvecklingsmiljöer och kan användas för att inte bara testa API:er för sårbarheter under tiden de byggs, utan även övervaka deras prestanda. På så sätt kan utvecklare, till exempel, se vad som händer om ett API råkar ut för mycket stora datamängder, vilket också kan vara ett säkerhetsproblem.
Som en del av dessa tester kan användare konfigurera vilken sorts trafik som ska kastas mot API:et under utvecklingsfasen, eller så kan ReadyAPI spela in verklig trafik från organisationens nätverk och använda detta för mycket realistiska tester. I sig själv har ReadyAPI stöd för bland andra Git, Docker, Jenkins, Azure DevOps och TeamCity.
Wallarm End-to-End API Security
Även om Wallarm End-to-End API Security platform togs fram för att arbeta i molnmiljöer där det finns många API:er, kan verktyget också skydda API:er som finns i utrustning i egna datacenter. Det är framtaget för att skydda mot alla slags hot mot API:er, från de överst på OWASPs lista (Open Web Application Security Project), till specifika hot som lösenordsattacker som ofta utförs mot API:er.
Wallarm kan också hjälpa till med att motverka ddos-attacker och recognostieringar, och rakt av attacker, som utförs av bottar. Givet att den mesta av internettrafiken idag kommer från bottar är det en snitsig funktion att ha i ett säkerhetsverktyg.
Plattformen tillhandahåller också djupdykning i och överblick över en organisations hela API-portfolio baserat på användartrafik, vilket kan ge insikter i mer än endast säkerhet, men även i hur API:er används av organisationen och vilka områden som behöver förbättras. Det är inte det primära användningsområdet för Wallarm-plattformen, men de detaljerade rapporterna skulle verkligen kunna hjälpa till inom andra områden utanför säkerhetsområdet som en bonus.