Nyhet -
API:er och lärdomar från Facebook-attacken 2018
Företag använder allt oftare API:er för att utveckla sina digitala tjänster. Men den supersnabba åtkomsten till kritisk data har en baksida som många företag fortfarande inte förstått vidden av. Detta trots en välkänd attack mot Facebook 2018 som borde ha fått alla säkerhetsansvariga på tå.
Gränssnitten för applikationsprogrammering (API:er) finns bakom kulisserna i nästan allt som du som konsument eller företag kommer i kontakt med i det digitala rummet. Från datacenter till smartphones.
Fördelarna är många eftersom API:er gör att olika IT-system kan prata med varandra och skapa synergieffekter som ökar effektiviteten, sänker kostnaderna och hushållar med resurserna. Men om konfigurationen av API:n görs för snabbt och ogenomtänkt kan riskerna snabbt bli fler än fördelarna.
Fokus har varit på funktionalitet – inte säkerhet
Den ökade andelen hemarbete har skapat en stor efterfrågan på datatrafik mellan applikationer och molntjänster så att alla kan arbeta oavsett var man befinner sig. Men dessa API-lösningar har ofta skapats med fokus på hastighet och funktionalitet – inte säkerhet. Tyvärr betyder det att cyberkriminella allt för enkelt kan få tillgång till affärskritisk information.
De flesta organisationer uppskattar API:er – med rätta. Men att säkra dem ordentligt är en stor utmaning.
I en av våra senaste undersökningar bland 750 internationella kunder sa 72 procent att deras organisation har upplevt minst ett applikationsintrång under det senaste året. Och så många som 40 procent har upplevt mer än ett.
Även i media har artiklar om stora dataläckor blivit vanligare. Det går bland annat att läsa om hur cyberkriminella använder robotar som skannar internet efter sårbarheter. Ett exempel är Facebook, som 2018 aktiverade ett test-API med direkt åtkomst till interna datacenter utan att ha kontroll över säkerheten. Det resulterade i ett dataläckage som berörde över 50 miljoner användare.
Skillnaden mellan checkar och internet
Det går att göra en jämförelse med hur vi använde checkar. De som är tillräckligt gamla kanske kommer ihåg hur mor- och farföräldrar kunde ge pengagåvor i form av checkar. Sedan fick man vänta på att banken skulle öppna. Därefter lämnade man in en check och väntade på att en anställd skulle kontrollera en stor mängd information och kanske prata med en annan bank. Efter flera dagar fanns pengarna på mottagarens konto.
I dag kan pengar överföras på några sekunder med en smartphone. Det går snabbt, men tekniken bakom är inte så enkel. Väldigt komplexa IT-lösningar arbetar bakom kulisserna för att slutföra en transaktion – och varje enskild process i kedjan måste skyddas.
Det finns heller ingen mänsklig inblandning utan allt hanteras av API:er. Därför finns det många potentiella ingångar för IT-brottslingar där API-baserade applikationer är mer exponerade än traditionella webbaserade.
När du bläddrar igenom ditt Facebook-flöde eller kontrollerar dagens aktiekurser skickas en enorm mängd data direkt från ett datacenter som ständigt kontrolleras och uppdateras med ny data. Utan tillräcklig säkerhet kan den dataströmmen mycket väl utsättas för en framgångsrik attack.
Skydda dina API:er
Oavsett vad vi kallar hotet – zero day, bottar, DDoS, svaga punkter i leveranskedjan, kontostöld eller något annat – kan företagen själva göra mycket mer. Det borde vara högsta prioritet för alla företag att skydda sina API:er med en väl fungerande säkerhetslösning som är skalbar och enkel att arbeta med.
Om du bevakar säkerhetsfrågor och vill prata mer om API:er är du välkommen att kontakta Peter Gustafsson, Barracuda Networks, telefon: 0709-17 80 14, e-post: pgustafsson@barracuda.com
