Veel organisaties (rond de 90 procent, zo zegt beveiligingsbedrijf tCell op basis van eigen onderzoek) hebben een groter aanvalsoppervlak dan nodig is, omdat API-endpoints die niet meer worden gebruikt nog wel te benaderen zijn. Volgen tCell heeft een kwart van de bedrijven meer dan 100 API-resten die niet meer worden ingezet voor applicaties in hun omgeving hangen.

Achtergelaten code lijkt misschien geen probleem: "Het verandert niets aan de operationaliteit van een applicatie, maar [de API-endpoints] kunnen worden aangevallen." Net als andere potentiële ingangen, moeten ze worden dichtgemaakt als ze niet meer nodig zijn. "Zie deze routes als hoe we aankijken tegen open netwerkpoorten die niet meer worden gebruikt", stelt tCell.

"Dit is een risico waar mensen zich niet op hebben gericht, omdat het geen kwetsbaarheid is door een codefout of zelfs geen kwetsbare third party-library. Dit is een kans om het aanvalsoppervlak (risico) te verkleinen zonder dat applicatiefunctionaliteit of bedrijfsvoordeel wordt verlaagd", zo staat te lezen in het rapport.

Bron: The State of Security for In-Production Applications, tCell