Gå direkt till innehåll
Barracuda Networks Peter Gustafsson ger sin syn på IT-säkerhet och användningen av API:er.
Barracuda Networks Peter Gustafsson ger sin syn på IT-säkerhet och användningen av API:er.

Nyhet -

API:er och lärdomar från Facebook-attacken 2018

Företag använder allt oftare API:er för att utveckla sina digitala tjänster. Men den supersnabba åtkomsten till kritisk data har en baksida som många företag fortfarande inte förstått vidden av. Detta trots en välkänd attack mot Facebook 2018 som borde ha fått alla säkerhetsansvariga på tå.

Gränssnitten för applikationsprogrammering (API:er) finns bakom kulisserna i nästan allt som du som konsument eller företag kommer i kontakt med i det digitala rummet. Från datacenter till smartphones.

Fördelarna är många eftersom API:er gör att olika IT-system kan prata med varandra och skapa synergieffekter som ökar effektiviteten, sänker kostnaderna och hushållar med resurserna. Men om konfigurationen av API:n görs för snabbt och ogenomtänkt kan riskerna snabbt bli fler än fördelarna.

Fokus har varit på funktionalitet – inte säkerhet
Den ökade andelen hemarbete har skapat en stor efterfrågan på datatrafik mellan applikationer och molntjänster så att alla kan arbeta oavsett var man befinner sig. Men dessa API-lösningar har ofta skapats med fokus på hastighet och funktionalitet – inte säkerhet. Tyvärr betyder det att cyberkriminella allt för enkelt kan få tillgång till affärskritisk information.

De flesta organisationer uppskattar API:er – med rätta. Men att säkra dem ordentligt är en stor utmaning.

I en av våra senaste undersökningar bland 750 internationella kunder sa 72 procent att deras organisation har upplevt minst ett applikationsintrång under det senaste året. Och så många som 40 procent har upplevt mer än ett.

Även i media har artiklar om stora dataläckor blivit vanligare. Det går bland annat att läsa om hur cyberkriminella använder robotar som skannar internet efter sårbarheter. Ett exempel är Facebook, som 2018 aktiverade ett test-API med direkt åtkomst till interna datacenter utan att ha kontroll över säkerheten. Det resulterade i ett dataläckage som berörde över 50 miljoner användare.

Skillnaden mellan checkar och internet
Det går att göra en jämförelse med hur vi använde checkar. De som är tillräckligt gamla kanske kommer ihåg hur mor- och farföräldrar kunde ge pengagåvor i form av checkar. Sedan fick man vänta på att banken skulle öppna. Därefter lämnade man in en check och väntade på att en anställd skulle kontrollera en stor mängd information och kanske prata med en annan bank. Efter flera dagar fanns pengarna på mottagarens konto.

I dag kan pengar överföras på några sekunder med en smartphone. Det går snabbt, men tekniken bakom är inte så enkel. Väldigt komplexa IT-lösningar arbetar bakom kulisserna för att slutföra en transaktion – och varje enskild process i kedjan måste skyddas.

Det finns heller ingen mänsklig inblandning utan allt hanteras av API:er. Därför finns det många potentiella ingångar för IT-brottslingar där API-baserade applikationer är mer exponerade än traditionella webbaserade.

När du bläddrar igenom ditt Facebook-flöde eller kontrollerar dagens aktiekurser skickas en enorm mängd data direkt från ett datacenter som ständigt kontrolleras och uppdateras med ny data. Utan tillräcklig säkerhet kan den dataströmmen mycket väl utsättas för en framgångsrik attack.

Skydda dina API:er
Oavsett vad vi kallar hotet – zero day, bottar, DDoS, svaga punkter i leveranskedjan, kontostöld eller något annat – kan företagen själva göra mycket mer. Det borde vara högsta prioritet för alla företag att skydda sina API:er med en väl fungerande säkerhetslösning som är skalbar och enkel att arbeta med.

Om du bevakar säkerhetsfrågor och vill prata mer om API:er är du välkommen att kontakta Peter Gustafsson, Barracuda Networks, telefon: 0709-17 80 14, e-post: pgustafsson@barracuda.com

Relaterade länkar

Ämnen

Kategorier

Kontakter

  • Barracuda, angrepp på webbapplikationer.jpg
    Barracuda, angrepp på webbapplikationer.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    1200 x 628, 149 KB
    Ladda ner
  • Peter Graymon, Barracuda 2.jpg
    Peter Graymon, Barracuda 2.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    5568 x 3712, 7,18 MB
    Ladda ner

Relaterat innehåll

  • Bottar största hotet mot företagens applikationer

    Bottar största hotet mot företagens applikationer

    Bottar och andra automatiseringsverktyg har blivit ett gissel i händerna på cyberkriminella. När Barracuda Networks genomförde en global undersökning svarade mer än fyra av tio (43 procent) att skadliga bottar var det största hotet mot företagets applikationer. På andra plats kom angrepp mot företagens ”software supply chain” – 39 procent upplevde dem som det största hotet mot applikationer.

  • Angrepp på webbapplikationer bygger oftast på automatisering

    Angrepp på webbapplikationer bygger oftast på automatisering

    Cyberkriminella använder i allt högre utsträckning bottar och andra automatiseringsverktyg för att genomföra sina angrepp. När Barracuda Networks analyserade två månaders data från attacker mot webbapplikationer visade det sig att de fem vanligaste angreppstyperna till stor del bygger på automatisering.

  • De fem största IT-säkerhetshoten 2021

    De fem största IT-säkerhetshoten 2021

    Även om den påbörjade vaccineringen gör att vi kan se ljuset i tunneln kommer vi sannolikt att arbeta hemifrån ett bra tag till. Och ett omfattande distansarbete betyder också fortsatta utmaningar för IT-säkerheten. Barracuda Networks Peter Gustafsson kommenterar här utvecklingen och de största IT-säkerhetshoten under 2021.

  • Ny EU-rapport lyfter fram cyberhoten som ökar mest

    Ny EU-rapport lyfter fram cyberhoten som ökar mest

    ​EU:s byrå för cybersäkerhet (ENISA) konstaterar i en ny rapport att fem typer av säkerhetshot ökar mest i Europa: nätfiske, identitetsstöld, informationsläckage, ransomware och insider-attacker. Byrån beskriver också hur attackmönstren har förändrats under den pågående pandemin.

Relaterade event