3 minute read
Partners moeten innoveren in hun portfolio
Bijna elke applicatie is via API’s met andere programma’s en platformen verbonden. Dat maakt deze interfaces tot een interessant doelwit voor criminelen.
“Bedrijven weten niet wat er op de API-laag gebeurt.” Tekst: Mels Dees
API’s hebben in korte tijd een opmars gemaakt. Bedrijven gebruikten al veel softwareomgevingen en applicaties en zijn dat massaal met elkaar gaan verbinden door middel van API’s. “Dat is niet zonder risico”, geeft Sunil Dutt, Director Channel Sales & Distribution, EMEA & APAC bij Salt Security, aan. “API’s hebben toegang tot veel gevoelige informatie, dat maakt ze interessant voor criminelen.” Om die reden heeft Open Line, business partner van Salt Security, de oplossingen van Salt Security omarmd om API’s te beveiligen. “We hebben veel klanten in de zorg, logistiek en overheid, en vooral die eerste twee maken erg veel gebruik van API-verkeer”, legt Daniel van Slochteren, Chief Innovation Officer bij Open Line, uit. “Die klanten hebben het beheer van hun IT- en Cloud-infrastructuur bij ons ondergebracht. Vanuit die verantwoordelijkheid wilden we meer inzicht in het API-landschap, om onze klanten bewust te maken van deze vorm van informatie-uitwisseling. API’s zijn tegenwoordig immers een gewild kanaal voor kwaadwillenden en vanuit risicoperspectief behoeft dat absoluut aandacht.”
Nieuw soort aanvallen
De dreigingsrisico’s wijken bij API’s af van meer traditionele aanvallen. Dutt: “Het gaat niet zozeer om malware zoals we die al langer kennen, maar om de manipulatie van de businesslogica van de API. Dat zijn we niet gewend.” Een API is heel specifiek gebouwd om te acteren met een applicatie, legt Dutt uit, en met alles dat met die applicatie verbonden is. “Dat gebeurt steeds op een hele specifieke manier. Die specifiekheid is de business logica in de API.” De Director Channel geeft een voorbeeld. “Stel dat een retailer besluit een webshop op te zetten. Die webshop verbindt hij aan een database waar alle producten staan. Daarnaast is er natuurlijk een verbinding met een betalingsplatform, dat weer communiceert met allerlei banken.” De manier nu waarop die informatiestromen heen en weer gaan, welke data er worden gedeeld, hoe die worden gedeeld en wanneer, is de business logica die een developer in de API programmeert. Dutt: “Als je slim bent en de business logica zo weet te manipuleren dat de API jou bijvoorbeeld de hele database geeft, dan heeft die retailer een groot probleem.”
Geen hackersgroepen
Dutt noemt bij deze ontwikkeling een opmerkelijke factor. “Het zijn niet meer de grote hackersgroeperingen de zich op API’s richten. Een API-gebaseerde breach forceren is heel simpel, je buurmeisje kan het. Zij opent Google Chrome in de developer modus en bekijkt een tutorial op internet.” Aan de andere kant zijn API’s niet voor iedereen zicht- baar, wat de bewustwording op het gebied van security hindert. “We weten allemaal inmiddels wel dat je niet op een verdachte link moet klikken. Dat soort oplettendheid is hier nog niet.” In de praktijk blijkt ook te vaak dat de API met de verkeerde API communiceert, of dat de API te veel informatie deelt. Dat is gevaarlijk want die data kunnen weer doorgelinkt worden naar andere API’s.” Ook Van Slochteren van Open Line herkent dit. “In heel veel sectoren leeft het besef dat deze kwetsbaarheid bestaat nog onvoldoende, ook als er bijvoorbeeld wel heel privacygevoelige data worden gedeeld, zoals in de zorg. Resellers, fabrikanten, klanten: niemand is zich volledig bewust wat er gebeurt op de API-laag.” Om die reden biedt Open Line inmiddels API Security as a Service aan, gebouwd op de oplossing van Salt Security. “We gebruiken het als organisatie ook voor onszelf, ook wij gebruiken diensten die stevig afhankelijk zijn van API’s.”
Dutt: “Mensen moeten zich realiseren dat API Security geen product is maar een technologie stack. Het moet bestaan uit meerdere oplossingen die met elkaar integreren om bescherming te bieden tegen dit soort aanvallen.”
Geavanceerde bedreigingen
Veel klanten denken dat ze API-security al hebben, bijvoorbeeld in de vorm van een web application firewall (WAF) en een API management platform. “Inmiddels zijn de bedreigingen zo geavanceerd, juist omdat ze zich afspelen op het niveau van de businesslogica van de API, dat die oplossingen niet meer voldoen,” geeft Dutt aan. Voor die geavanceerde aanvallen moet je innoveren in de technologie stack. Bijvoorbeeld door gebruik te maken van het Salt Security API Protection Platform, die integreert met de bestaande stack. Dit zorgt voor onafgebroken bescherming tegen de meest geavanceerde API aanvallen, die zijn opgenomen in de OWASP API Security Top 10 list.
Zorgvuldige selectie partners
“Het begint ermee dat je weet wat je moet beschermen,” stelt Dutt. “Dat geldt voor alle security, dus ook hier. Maak daarom een catalogus van alle API’s die je ontwikkelde en van de externe waarmee je interacteert. Bij die inventarisatie spelen partners, IT-dienstverleners, een belangrijke rol.” In de go-to-market van Salt Security is het channel belangrijk voor Salt Security, dat echter geen volume vendor zal zijn. “Partners selecteren we zorgvuldig op kennis, kunde en bereik in markt. Ze moeten samen met ons willen leren én de klant willen voorlichten en meenemen in de propositie.” Salt Security ondersteunt de partner met trainingen, comarketing funds en technische ondersteuning. ◾
PARTNERPROFIEL: CTS