Solution de sécurité des API complète : un recours trop peu répandu face aux besoins

Un déficit notable en matière d'outils de test de sécurité des API

L'enquête SANS de 2023 sur la sécurité des API a révélé que moins de 50 % des personnes interrogées disposent d'outils de test de sécurité des API . Ils sont encore moins nombreux à disposer d'outils de découverte d'API (29 %). En outre, le rapport indique que l'exploitation des contrôles de sécurité des API qui sont inclus avec le déni de service distribué (DDoS) et les services d'équilibrage de charge représente « un domaine sous-utilisé » : seulement 29 % des personnes interrogées ont déclaré utiliser ces fonctionnalités.

C'est une tendance inquiétante, compte tenu de l'augmentation des attaques. Comme Akamai l'a indiqué dans son récent rapport sur l'état des lieux de l'Internet, intitulé Se faufiler à travers les failles de sécurité : l'augmentation des attaques d'applications et d'API, 2022 a été une année record pour les attaques d'applications et d'API. Le manque d'adoption d'outils d'API dotés d'une couverture complète n'est peut-être pas surprenant si l'on considère ce que les personnes interrogées dans le cadre de l'enquête SANS ont déclaré considérer comme les principaux risques de sécurité pour leur organisation. 

Le rapport, publié en juillet 2023, a interrogé 231 personnes, la plupart originaires des États-Unis. 78 % des personnes interrogées jouent actuellement un rôle dans la sécurité des applications, tandis que 15 % envisagent de s'y impliquer à l'avenir.

Les risques liés aux API sont tous égaux

Lorsqu'on leur a demandé de classer les trois principaux risques pour leur organisation, les répondants ont cité le plus souvent « le phishing visant à obtenir des informations d'identification réutilisables », suivi par « les pirates exploitant les correctifs manquants » et « les pirates exploitant les applications/API vulnérables ». La dernière place du classement revient aux « serveurs/services mal configurés ». Il est clair que, bien que les entreprises soient conscientes des risques que peuvent présenter les API, elles n'investissent pas dans ce domaine en priorité.

Contrôles et processus de sécurité multiples

Dans le rapport, John Pescatore, directeur des tendances émergentes en matière de sécurité pour le SANS Institute, écrit : « La découverte, l'évaluation et l'atténuation des risques liés aux API est un problème complexe qui nécessite de multiples contrôles et processus de sécurité pour garantir une protection complète ». « Les outils au niveau des applications déjà largement utilisés peuvent fournir une protection partielle : les contrôles spécifiques à la sécurité des API qui fournissent une protection complète ne sont pas encore totalement utilisés. »

Comprendre comment les API s'exécutent (et combien elles sont)

Le rapport SANS suggère également que les entreprises ne parviennent pas à comprendre le nombre d'API en cours d'exécution dans leurs environnements. Plus des deux tiers des personnes interrogées ont estimé que l'exactitude de l'inventaire de leurs API en cours d'exécution était inférieure à 75 %. 

Pendant des années, les entreprises ont eu du mal à obtenir un inventaire précis de leurs ressources, telles que leurs réseaux, leurs ordinateurs et leurs applications. Elles doivent s'efforcer de comprendre où (et combien) d'API fonctionnent. Le rapport poursuit : «… Étant donné que les API vulnérables deviennent le point d'accès le plus courant pour les attaques, il est nécessaire d'accroître la précision des inventaires des API et la fréquence de leur découverte. » 

Les acheteurs s'intéressent à plusieurs options de sécurité des API

Concernant l'acquisition de nouveaux outils pour combler certaines de ces lacunes relatives à la sécurité des API, le consensus était faible.  À la question de savoir quelles solutions (qui ne sont pas actuellement utilisées) leurs entreprises prévoient de mettre en œuvre au cours des deux prochaines années, les répondants ont fourni un large éventail d'options : 

• Passerelles web sécurisées (14 %)
• Tests de vulnérabilité des applications dynamiques (13 %)
• Web Application Firewall (13 %)
• Fonctions de sécurité des applications / des API dans les réseaux de diffusion de contenu (13 %)
• Test de sécurité des API (12 %)
• Découverte des API (10 %)

Les acheteurs recherchant un grand nombre de solutions différentes pour la sécurité des applications et des API, les fournisseurs, comme Akamai, capables d'offrir des solutions complètes, deviennent beaucoup plus convaincants. Pour les entreprises, l'accès à la gestion des bots, aux pare-feux d'applications Web et à d'autres exigences offert par un fournisseur disposant également de solides services couvrant de multiples disciplines constitue un avantage significatif.

Technologie de découverte et de réponse étendue

De plus, l'émergence de nouvelles technologies qui utilisent la découverte et la réponse étendues (XDR) en vue de fournir une visibilité sur toutes les activités des API, déterminer la posture de risque et comprendre les comportements normaux et abusifs pour bloquer les menaces présente des avantages significatifs en matière de protection des API.

La récente acquisition de Neosec par Akamai favorise cette tendance. Les entreprises peuvent désormais obtenir des niveaux sans précédent d'analyse du comportement des API en combinant l'analyse de 30 jours (minimum) d'activité des API avec la visibilité fournie par le réseau de diffusion de contenu Akamai.

Les résultats de l'enquête SANS fournissent également un contexte intéressant pour l'examen de la publication de la nouvelle liste des 10 principaux risques pour la sécurité des API de l'OWASP, qui a ajouté plusieurs nouveaux risques, tels que la consommation illimitée des ressources et la consommation d'API non sécurisée.

Accord sur les cadres

À propos de l'OWASP : l'enquête suggère un certain accord sur les cadres que les professionnels de la sécurité trouvent utile. Plus de la moitié des personnes interrogées ont cité la liste des 10 principaux risques liés à la sécurité des applications Web de l'OWASP (55 %), l' infrastructure MITRE ATT&CK (55 %), et la liste des 10 principaux risques pour la sécurité des API de l'OWASP (52 %)  comme méthodes qu'ils utilisent pour définir les risques liés aux applications/API. Le Cloud Security Alliance (40 %) et le Center for Internet Security Critical Security Controls (33 %) complètent les cinq premières places.

La formation des développeurs à la sécurité reste une priorité

Le rapport indique également qu'en général, les entreprises continuent de se concentrer sur la formation des développeurs en matière de sécurité : plus de 75 % des organisations ont déclaré fournir une formation en sécurité au personnel chargé du développement. D'un autre côté, le rapport a également révélé que plus de 70 % des personnes interrogées ont déclaré avoir dispensé une formation sur la sécurité des applications à au moins 25 % de leur équipe de sécurité.

Visibilité et défense

App & API Protector d'Akamai fournit une solution complète d'applications et d'API pour la protection des applications Web et des pare-feux, la gestion des bots, la sécurité des API et la protection DDoS, offrant aux entreprises une visibilité sur les menaces dans leur propre environnement, en plus de solides défenses. Elle identifie rapidement les vulnérabilités et atténue les menaces observées sur l'ensemble des domaines Web et d'API. Et pour une fois, les architectures distribuées les plus complexes ne sont pas laissées de côté.