Uit data van meer dan 4.000 omgevingen blijkt dat er in slechts zes maanden 40.000+ API-incidenten plaatsvonden. En de aanvallen worden slimmer. Terwijl API's ongeveer 14 procent van alle aanvallen uitmaken, trekken ze bijna 44 procent van alle geavanceerde botactiviteit aan. Hackers richten hun meest intelligente automatisering niet meer op simpele scans, maar op de business logic die via API's loopt.
Een nieuwe dimensie van dreiging
Een van de meest verontrustende incidenten van het afgelopen halfjaar: een applicatielaag-DDoS-aanval van 15 miljoen requests per seconde op een financiële API. Daarmee combineren aanvallers schaal met stealth, extreem veel verkeer, maar verpakt in ogenschijnlijk legitiem API-request.
Volgens Imperva's data richten aanvallers zich vooral op:
Data-access API's (37%) zoals klantprofielen, transactiegeschiedenissen en productdata. Aanvallers richten zich hierop omdat er vaak waardevolle informatie te verkrijgen is waarmee fraude gepleegd kan worden en het bedrijfsdata oplevert wat verkocht kan worden. Daarnaast stuiten ze vaak op weinig weerstand. Veel read-only API's hebben geen strikte write-protect-mechanismen of anomaliedetectie, waardoor ze eenvoudiger op grote schaal te scrapen zijn.
Checkout & betalingen (32%), directe fraude via promo-loops en betaalstromen. Succesvolle aanvallen leiden direct tot gratis goederen of gestolen geld. Daarnaast zorgen de meerdere stappen (winkelwagen - promotie - betaling) vaak voor logische gaten, bots maken misbruik van elke ontbrekende validatie. Geautomatiseerde loops kunnen kortingscodes stapelen of hergebruiken, sneller dan jouw handmatige regelupdates.
Authenticatie (16%), account takeovers via credential stuffing en tokenmisbruik. Eenmaal binnen krijgen aanvallers toegang tot persoonlijke of financiële data en kunnen zij mogelijk verder bewegen naar andere systemen. Gestolen JWT's (JSON Web Tokens) of cookies maken naadloze sessiekaping mogelijk zonder herhaalde inlogpogingen. Daarnaast handhaven veel API's geen multi-factor authenticatie op elke kritieke actie, waardoor er gaten ontstaan waar bots doorheen kunnen glippen.
Dit soort aanvallen ziet er voor traditionele beveiligingstools volkomen normaal uit. Het resultaat: bedrijven verdrinken in meldingen die ruis veroorzaken, terwijl de echte aanvallen ongemerkt doorlopen.
Lees ook: Waarom we niet alleen in de zomer extra aandacht moeten besteden aan cybersecurity
Wat moet anders?
Aanvallers bestoken niet willekeurig je hele API-landschap, ze richten zich op de endpoints die het meest bijdragen aan hun doelstellingen. Begrijpen waarom deze endpoints worden aangevallen, en hoe aanvallers zich aanpassen, stelt je in staat je verdediging te concentreren daar waar die de grootste impact heeft. Bedrijven moeten hun aanpak herzien. Klassieke firewalls en rate limits zijn noodzakelijk, maar niet genoeg. Er is runtime intelligence en business-context nodig:
Continue API-discovery om ook shadow- en partner-API's zichtbaar te maken. Welke API's gebruikt de organisatie allemaal. Dit zijn er vaak meer dan gedacht.
Contract/schema-enforcement om afwijkende requests te blokkeren.
Object-level autorisatie zodat gebruikers alleen zien wat ze echt mogen zien.
Gedragsgebaseerde bot-detectie gekoppeld aan KPI's (bijv. pieken in refunds of promotie-inwisselingen).
Adaptieve throttling die risico meeneemt in plaats van enkel volume.
Het primaire strijdtoneel
API's zijn niet langer een „bijzaak" in de beveiliging; ze vormen tegenwoordig het primaire strijdtoneel. Organisaties die API's behandelen alsof het „gewoon webverkeer" is, lopen een direct risico op omzetverlies, reputatieschade en compliance-problemen.
Lees ook: Cybersecurity: 'Hacken is gewoon een heel makkelijk businessmodel'
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
