Web apps en API's voorkeursdoelwit voor cybercriminelen

Cybercriminelen vallen steeds vaker webapplicaties aan met DDoS of via API’s. Een lek of een simpele storing in de web app-laag kan al voldoende zijn voor de complete ontsporing van het primaire onderwijsproces. Het wordt dus hoog tijd om het initiatief terug te nemen en de effectieve bestrijding van deze gevaren prioriteit te geven.

DDoS-aanvallen op web apps lastig te detecteren

DDoS-aanvallen zijn al jarenlang schering en inslag. Maar de barrières die indringers tegen zouden moeten houden, zijn nog nooit zo laag geweest. Sterker nog, uit gegevens van de Britse National Crime Agency blijkt dat kinderen van negen jaar al in staat zijn dergelijke aanvallen uit te voeren met behulp van kant-en-klare ‘as-a-service’ beschikbare toolkits. Aanvallen op webapplicaties dragen nu in belangrijke mate bij aan de algehele vloedgolf van DDoS-aanvallen.

Qua uitvoering zijn die aanvallen misschien relatief langzaam, maar ze zijn ook heel lastig te detecteren. Er zijn ook meer resources nodig om ze te ontdekken, dan bij aanvallen op de netwerk-laag. Bovendien worden ze op allerlei verschillende manieren ingezet, bijvoorbeeld in de vorm van ransom-aanvallen. Maar ook volgens het ‘triple extortion’-model, dat expliciet bedoeld is om slachtoffers van ransomware te dwingen tot betalen.

Web apps toegang tot lucratieve data

Web apps zijn op zichzelf ook een interessant doelwit voor cybercriminelen, omdat ze directe toegang kunnen geven tot lucratieve gegevens en interne data. Bij de meerderheid van dit soort aanvallen in 2021 ging het om gevallen van ‘broken access control’ en zogenaamde ‘injection attacks’.

Broken access control is een OWASP Top-10 veiligheidsrisico voor applicaties. Het gaat daarbij niet alleen om geforceerde toegang met grof geweld. Maar ook om inbraak via het ‘predictable resource location’-principe, waarbij de aanvaller veelgebruikte en voor de hand liggende namen voor bestandsmappen kan raden en op die manier toegang krijgt tot potentieel gevoelige informatie.

Bij injection attacks gaat het om SQL-injectie en soortgelijke technieken. In al deze gevallen hebben we het over dreigingen, waar elke onderwijsinstelling zich terdege bewust van dient te zijn. Het is bijvoorbeeld een misvatting dat de hostingpartij de beveiliging van webapplicaties regelt.

Heeft jouw instelling webapplicaties in Azure gebouwd of maakt het gebruik van andere webapplicaties, waarvan je wilt weten of deze veilig zijn? Plan via SLBdiensten een afspraak in voor een gratis vulnerability scan.

API’s laten meer toe dan nodig is

In een recent onderzoeksrapport wordt ook stilgestaan bij het toenemende gevaar voor API’s, die steeds vaker functioneren als het hart van een digitale organisatie. Dat heeft alles te maken met het feit dat meer en meer organisaties hun webapplicaties, data en apparaten verbinden. Zowel intern als met systemen van derden, om op die manier de gebruikerservaring te optimaliseren. Het rapport laat zien dat 95% van de onderzochte organisaties de afgelopen 12 maanden te maken heeft gekregen met een vorm van API-beveiligingsincident, terwijl 12% gemiddeld meer dan 500 aanvallen per maand noteerde. Ook onderwijsinstellingen maken gebruik van API’s. Deze koppelingen laten meer toe dan nodig of gewenst is. Extra beveiliging en aandacht voor deze koppelingen is zeker op zijn plaats.

API’s als voorkeursdoelwit

Nummer 1 op de lijst van zorgen die de ondervraagden deelden, was het risico van verouderde API’s (43%), gevolgd door de kans op incidenten die leiden tot de overname van accounts (22%). Met de voortdurend verdergaande ontwikkeling van technische innovatie is het voor beveiligingsteams des te belangrijker om oog te houden voor technologie van eerdere generaties, waarbij de beveiliging misschien niet aan de huidige maatstaven voldeed, zoals in het geval van deze 'zombie' API’s. Blijvend zicht op deze uithoek van de IT-omgeving is net zo cruciaal als het besef dat API’s een steeds grotere rol spelen als sluipweg voor onbevoegde toegang tot gegevens. Gartner heeft al voorspeld dat 2022 het omslagjaar kan zijn naar een periode met API’s als voorkeursdoelwit voor hackers en de meest voorkomende bron van datalekken.

Wat kan je nu doen?

Een aantal suggesties:

• Meer aandacht voor API’s als aanvalsgevoelige systeemonderdelen en zicht op mogelijke gaten in de bescherming.
• Het afsluiten van die openstaande deuren met behulp van web app firewalls en andere beveiligingsmiddelen.
• Inzicht in de veranderende dynamiek van DDoS, de nieuwe dreiging van triple extortion en de piek in DDoS ransom-aanvallen.
• Ga partnerschappen aan met beveiligingsspecialisten om de effecten van zulke aanvallen op de web app-laag te beperken.
• Werk extra hard aan het inbouwen van beveiliging in de ontwikkeling van applicaties en API’s en aan bescherming van de gerelateerde omgevingen tegen aanvallen door derde partijen.

Wees je bewust van het belang van een proactieve opstelling. Beveiligingsincidenten kunnen de uitrol van nieuwe applicaties ernstig vertragen. Beveiliging is in die context niet iets wat fijn is om erbij te hebben. Het moet ingebouwd zijn in elk project als een essentiële grondvoorwaarde voor digitale innovatie en veilig hybride onderwijs..