API — это соединительная ткань современного цифрового бизнеса. Многие из приложений, программного обеспечения и ИТ-инфраструктуры, которые мы используем каждый день, основаны на том, что существовало раньше, а API (интерфейсы прикладного программирования) позволяют разработчикам быстро получать доступ и использовать существующие данные, код и системы. Они ускорили циклы разработки программного обеспечения, улучшили совместимость и расширили функциональные возможности и возможности, доступные пользователям. Эти умные кусочки соединительной ткани программного обеспечения породили огромное количество инноваций, принесли доход и повысили удобство использования.
Но связи, которые API обеспечивают с конфиденциальными данными и бизнес-логикой приложений, также могут быть использованы, предоставляя злоумышленникам полезные шлюзы для компрометации и кражи данных или перехвата операций приложений. Сейчас в Интернете используется множество API. Согласно отчету Imperva «Состояние безопасности API в 2024 году», в 2023 году на API будет приходиться более 71% веб-трафика. Злоумышленники знают о возможности доступа к конфиденциальным данным, которую предоставляют плохо защищенные API.
Например, почти половина (46%) всех атак захвата учетных записей (ATO) в 2023 году была нацелена на конечные точки API. Еще одна растущая угроза — это «плохие боты», автоматический трафик, который маскируется под обычный трафик API для использования функций API и получения конфиденциальных данных. Все это показывает, насколько важно для компаний лучше следить за API-интерфейсами, которые они используют каждый день, а также за разрешениями и правами доступа, которые они имеют.
Генеральный директор по безопасности приложений в Thales.
Основные проблемы безопасности API
Как и во многих других областях типичной ИТ-среды, прозрачность является серьезной проблемой для администраторов безопасности в области безопасности API. Они могли быть созданы разработчиками быстро, чтобы уложиться в сжатые сроки, а затем о них забыли или больше не использовали активно. Разработчики имеют представление о том, что они использовали, но администраторы безопасности за пределами этих кругов часто не имеют представления о том, что они используют. В одном программном обеспечении могут использоваться сотни различных API, некоторые из них используются, а некоторые нет — и эти неизвестные или «теневые API» внутри организации может быть трудно обнаружить.
Ошибки в работе API могут сделать его уязвимым для злоупотреблений. Этот риск особенно трудно обнаружить, поскольку традиционные предупреждения безопасности не запускаются якобы «нормальной» активностью API. Один из способов вернуть себе контроль — использовать токены, назначенные доверенным лицам, для управления доступом или установить квоты на то, как часто можно вызывать данный API, и отслеживать его использование с течением времени. Установка правил регулирования может помочь предотвратить чрезмерное использование API.
Доступ к талантам — еще один важный фактор, когда речь идет о безопасности API. Согласно отчету Postman о состоянии API за 2023 год, 38% разработчиков имеют опыт разработки API менее двух лет. У разработчиков программного обеспечения не обязательно есть стимул уделять приоритетное внимание безопасности при работе в условиях жестких сроков и сроков поставки. В дополнение к текущим программам по поиску и привлечению квалифицированных специалистов компании могут обнаружить, что развертывание автоматизированного решения безопасности API может помочь преодолеть разрыв между масштабом проблемы и отсутствием институциональных знаний.
На пути к более безопасному инвентарю API
Лучший первый шаг — определить приоритетность обнаружения, категоризации и инвентаризации всех API, конечных точек, параметров и полезных данных. Программное обеспечение может помочь сканировать экосистему конкретной организации и автоматически классифицировать API, которые обрабатывают личную информацию (PII) или защищенную медицинскую информацию (PHI). В дополнение к инструментам, помогающим в этом аудите и категоризации, организациям также следует рассмотреть возможность использования шлюзов API для более эффективной маршрутизации будущих вызовов API. Они также могут помочь организациям измерять и управлять скоростью использования API, но их необходимо использовать в сочетании с брандмауэром веб-приложений, чтобы обеспечить полную безопасность всех конечных точек API.
Поскольку угрозы вредоносного трафика ботов и неправильного использования бизнес-логики продолжают расти, ИТ-руководители также должны рассматривать свои API как потенциальный вектор угроз для своих организаций и активно защищать их. Взглянув на общую картину и объединив такие элементы, как брандмауэр веб-приложений (WAF), защиту API, предотвращение DDoS-атак и защиту от ботов, организации могут лучше защитить свои данные и повысить устойчивость.
Мы представили лучшее программное обеспечение брандмауэра.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
