Minder dan 70 procent van de klantgerichte API’s is beveiligd met HTTPS. Dat zegt beveiligingsbedrijf F5 in zijn 2024 State of Application Strategy Report: API Security.
Hoewel API’s steeds meer de ruggengraat van de digitale transformatie vormen en zorgen voor verbinding tussen kritieke services en applicaties, blijven ze achter qua beveiliging, zegt het bedrijf. HTTPS wordt daarentegen inmiddels gebruikt voor 90 procent van de websites, maar een derde van de API’s maakt er dus nog geen gebruik van.
In het rapport staat verder dat de gemiddelde organisatie nu 421 verschillende API’s beheert, waarvan de meeste gehost worden in publieke cloud-omgevingen. Ondanks deze groei blijft een aanzienlijk aantal API’s, met name die klantgericht zijn, onbeschermd. Omdat API’s steeds vaker verbinding maken met AI-services zoals OpenAI, moet het beveiligingsmodel worden aangepast om zowel inkomend als uitgaand API-verkeer te beveiligen. De huidige praktijken richten zich volgens het rapport grotendeels op inkomend verkeer, waardoor uitgaand API-verkeer kwetsbaar blijft.
De beveiligingshiaten ontstaan mogelijk door de gesplitste verantwoordelijkheid, denken de onderzoekers. Bij 53 procent van de ondernemingen valt API-beveiliging onder applicatiebeveiliging en 31 procent vapakt het op via tPI-management en integratieplatformen.
