Google a annoncé aujourd'hui un aperçu d'Advanced API Security, un nouveau produit destiné à Google Cloud et conçu pour détecter les menaces de sécurité liées aux API. Construit sur Apigee, la plate-forme de gestion des API de Google, la société indique que les clients peuvent demander l'accès à partir d'aujourd'hui.
Abréviation de "interface de programmation d'application", les API sont des connexions documentées entre ordinateurs ou entre programmes informatiques. L'utilisation des API est en hausse, une enquête ayant révélé que plus de 61,6 % des développeurs s'appuyaient davantage sur les API en 2021 qu'en 2020. Mais ils deviennent également de plus en plus la cible d'attaques. Selon un rapport de 2018 commandé par le fournisseur de cybersécurité Imperva, les deux tiers des organisations exposent des API non sécurisées au public et à leurs partenaires.
Advanced API Security se spécialise dans deux tâches : identifier les erreurs de configuration des API et détecter les bots. Le service évalue régulièrement les API gérées et fournit des actions recommandées lorsqu'il détecte des problèmes de configuration, et il utilise des règles préconfigurées pour fournir un moyen d'identifier les bots malveillants dans le trafic des API. Chaque règle représente un type différent de trafic inhabituel à partir d'une adresse IP unique ; si un modèle de trafic d'API répond à l'une des règles, Advanced API Security le signale comme un bot.
"Les API mal configurées sont l'une des principales raisons des incidents de sécurité des API. Bien que l'identification et la résolution des erreurs de configuration des API soient une priorité absolue pour de nombreuses organisations, le processus de gestion de la configuration prend du temps et nécessite des ressources considérables », a déclaré Vikas Ananda, chef de produit chez Google Cloud, dans un article de blog partagé avec TechCrunch avant l'annonce. « Advanced API Security permet aux équipes d'API d'identifier plus facilement les proxys d'API qui ne sont pas conformes aux normes de sécurité. . . . De plus, Advanced API Security accélère le processus d'identification des violations de données en identifiant les bots qui ont abouti au code de réponse de statut de réussite HTTP 200 OK .
Avec le lancement d'Advanced API Security, Google cherche évidemment à renforcer ses offres de sécurité sous Apigee, qu'il a acquis en 2016 pour plus d'un demi-milliard de dollars. Mais la société répond également à une concurrence accrue dans le segment de la sécurité des API. Les startups proposant des produits de cybersécurité axés sur les API incluent Salt Security , Noname Security et Neosec . De nombreux fournisseurs établis ont également élargi leurs offres ces dernières années, notamment Barracuda, Akamai, 42Crunch, Traceable, Ping Identity et Signal Sciences.
En mars, Cloudflare a lancé une nouvelle passerelle visant à renforcer la sécurité des API. Et en mai, Imperva a acquis la société de sécurité API CloudVector.
Bien que le jury ne se prononce pas sur les performances comparatives de ces produits, la menace d'attaques via API est bien réelle. Des entreprises comme Peloton , Parler et même LinkedIn ont été victimes d'attaques basées sur des API au cours des derniers mois. Ils ne sont pas les seuls. Selon une étude récente de Cloudentity, 44 % des entreprises ont rencontré des problèmes d'autorisation d'API "substantiels" concernant la confidentialité, la fuite de données et l'exposition des propriétés d'objet avec des API internes et externes.
