В современном быстро меняющемся цифровом мире API стали стержнем быстрого предоставления бизнес-функциональности. Эти цифровые разъемы лежат в основе многих корпоративных инноваций, которые мы наблюдаем сегодня: от бесперебойного взаимодействия с клиентами до интегрированных партнерских экосистем. Тем не менее, как технический директор Traceable, я не могу не наблюдать растущую (и очевидную) закономерность: по мере роста использования API потенциальные риски растут в геометрической прогрессии. Давайте обратимся к достоверным данным, чтобы пролить свет на текущее состояние безопасности API.
Измерение бума API
Углубленный анализ глобального состояния безопасности API компании Traceable раскрывает глубокую истину: API, несомненно, жизненно важны для глобальной цифровой трансформации. По данным нашего анализа, 57 % организаций оценивают важность API на 7 или выше по шкале от 1 до 10, а в совокупности 29 % присвоили высшим уровням важности 9 или 10. Это не просто тенденция. но фундаментальный сдвиг в стратегии бизнес-технологий.
Тем не менее, возникает тревожная противоположность. Хотя подавляющее большинство, а точнее 88%, используют более 2500 облачных приложений, что подчеркивает обширную сеть API, только 59% утверждают, что могут обнаружить все используемые API. Если принять во внимание важную роль, которую играют API, эти цифры указывают на существенную разницу. Представьте себе, что вы строите сеть трубопроводов в городе, но затем теряете их из виду. В цифровой сфере незамеченные и незащищенные API являются скрытыми путями кибератак.
Тонкости безопасности API
Хотя важность API в нашей цифровой экосистеме невозможно переоценить, тонкости их безопасности остаются той областью, в которой большинство организаций терпят неудачу. Более глубокое изучение данных дает нам более четкое представление об этих нюансах и существующих пробелах в большинстве стратегий безопасности.
Действительно хорошая новость: 51% организаций внедряют быстрое сканирование для выявления и устранения уязвимых API из производственных сред. Такой упреждающий подход демонстрирует понимание непосредственных угроз. Однако реальное поле битвы огромно и гораздо сложнее. Наши данные показывают, что проблемы заключаются не только в немедленном обнаружении угроз, но и в уровнях взаимосвязанных действий, поведения и потоков, которые генерируют API.
Лишь 59% организаций имеют решения, позволяющие обнаружить все используемые API. По сути, это означает, что значительный процент корпоративных API остается вне поля зрения и, следовательно, вне системы управления API. Необнаруженный API — это неотслеживаемый API, а неотслеживаемый API — это потенциальный шлюз для киберугроз. Последствия огромны: от несанкционированного доступа к данным до сбоев в работе и многого другого. Любая уязвимость, будь то существующая или нулевого дня, просто ждет, чтобы ее могли использовать злоумышленники, использующие сложные механизмы для ее поиска в критически важных приложениях.
Для безопасности API контекст имеет ключевое значение
Более того, общее мастерство в области безопасности API достигается благодаря пониманию сложных взаимодействий. Только 38% организаций имеют решения, которые позволяют им понять контекст между действиями API, поведением пользователей, потоками данных и выполнением кода. В гиперсвязанных цифровых экосистемах понимание этих данных имеет решающее значение. Аномалия в поведении пользователей или подозрительный поток данных могут быть ранними индикаторами попытки взлома или использования уязвимости.
Более того, необходима возможность адаптировать меры безопасности на основе динамических параметров угроз. В то время как общие протоколы безопасности могут противостоять общим угрозам, индивидуальные меры защиты, основанные на субъектах угроз, скомпрометированных токенах, скорости злоупотребления IP, геолокации, IP-адресах ASN и конкретных шаблонах атак, могут быть разницей между отраженной угрозой и нарушением безопасности. Однако большинство организаций не имеют такой возможности.
Наконец, компании по-прежнему упускают из виду необходимость мониторинга и понимания моделей взаимодействия между конечными точками API и службами приложений. API может функционировать должным образом, но если его модель взаимодействия аномальна или его взаимодействие с другими службами является неожиданным, это может быть индикатором основных уязвимостей или неправильных конфигураций.
Большинство компаний предприняли основополагающие шаги в направлении безопасности API. Однако нарушения продолжаются. Из организаций, подвергшихся недавнему взлому, 74% столкнулись как минимум с тремя нарушениями, связанными с API, за последние два года. Существует очевидная необходимость углубиться в основы того, что на самом деле защищает API.
Обнаружение всех ваших API и сканирование их на наличие уязвимостей — это только первый шаг. Понимание ландшафта взаимодействий, поведения и потенциальных векторов угроз — вот где находится следующий рубеж безопасности API.
Навигация в будущее безопасности API
Учитывая центральную роль API в нашем цифровом будущем, организации сталкиваются с двойной проблемой. Во-первых, им необходимо полностью осознать масштабы своей собственной цифровой экосистемы, понимая роль каждого API и потенциальные уязвимости. Скрытые угрозы, такие как теневые API и API-зомби, необходимо выявлять и устранять. Каждая скрытая дверь может стать точкой входа для злоумышленников.
Во-вторых, парадигма безопасности API требует всестороннего пересмотра, особенно в решении растущей проблемы злоупотреблений API. Злоупотребление API, когда злоумышленники манипулируют функциями API для достижения вредоносных целей, стало серьезной проблемой. Простых мер, таких как простое обнаружение API или выполнение рутинных тестов на уязвимости, недостаточно. Мы должны занять активную и дальновидную позицию, направленную на противодействие таким злоупотреблениям. Меры безопасности должны быть включены в каждый этап жизненного цикла API — от разработки до развертывания и бдительного непрерывного мониторинга.
По сути, хотя API стали стержнем наших усилий по цифровой трансформации, наша нынешняя инфраструктура безопасности, возможно, не полностью готова к волне проблем, которые они приносят. Новые данные рисуют яркую картину. API — это одновременно наша сила и наша потенциальная слабость. По мере того, как мы приближаемся к будущему, основанному на API, крайне важно будет сбалансировать преобразующую силу API с столь же развитым подходом к безопасности API.
Санджай Нагарадж — технический директор компании Traceable.
—
New Tech Forum предоставляет технологическим лидерам, включая поставщиков и других внешних участников, площадку для изучения и обсуждения новых корпоративных технологий с беспрецедентной глубиной и широтой. Выбор является субъективным и основан на выборе технологий, которые мы считаем важными и представляющими наибольший интерес для читателей InfoWorld. InfoWorld не принимает маркетинговую информацию для публикации и оставляет за собой право редактировать весь предоставленный контент. Отправь все запросы к doug_dineley@foundryco.com.
Дальше читайте это:
- Лучшее программное обеспечение с открытым исходным кодом 2023 года
- Сертификаты программирования все еще имеют значение?
