Девять из десяти организаций пострадали от нарушения безопасности своих API

Согласно отчёту компании Salt Security, в прошлом году девять из десяти организаций пострадали от нарушения безопасности своих интерфейсов прикладного программирования (API).

Девять из десяти организаций пострадали от нарушения безопасности своих API. Фото: Pixabay

API - это инструмент, который программное обеспечение использует для отправки запросов через Интернет, включая другие облачные и мобильные приложения. Они также могут сделать приложения на основе браузера более отзывчивыми и гибкими. API-интерфейсы становятся все более популярными, и Akamai заявляет, что запросы API составляют 83% веб-трафика.

Однако плохо созданные API-интерфейсы могут представлять угрозу безопасности, позволяя людям запрашивать информацию, которой они не должны. Например, в прошлом году этические хакеры обнаружили изъян в API GitLab , благодаря которому смогли заполучить частную информацию группы. В 2018 году в результате ошибки API в Google из-за которой данные 52,5 миллиона частных пользователей могли утечь в сеть.

Читайте в тему:

Выводы отчёта Salt не означают, что 90% людей сталкивались с нарушениями через API. Описанные в нем инциденты варьировались от обнаружения уязвимостей (54% компаний обнаружили уязвимости в производственных системах) до проблем с аутентификацией (46%). Однако количество атак на API по-прежнему вызывало озабоченность. Каждая пятая компания сталкивалась с ботами-парсерами, и почти такая же доля сталкивалась с атаками отказа в обслуживании через свои API. Неправильное использование аккаунтов через API-интерфейсы затронуло 14% респондентов, а 9% столкнулись с утечкой данных на основе API.

Респонденты, опрошенные в разных компаниях и секторах, выявили недостаток знаний и стратегии безопасности API. Из опрошенных 5% не имели стратегии безопасности API, а 22% находились на стадии планирования безопасности API. Поэтому неудивительно, что 83% из них не доверяли API, которые использовали, а 8% не доверяли вообще. Компании не документировали свои API должным образом, потому что их инструменты полагались на взаимодействие с людьми.

«Слепота API» - это проблема, когда дело доходит до контроля версий. Устаревшие API-интерфейсы «зомби», которые давно должны были быть отменены, часто остаются открытыми. В инфраструктурах клиентов компании было на 40–800% больше API, чем задокументировали сотрудники.

Отсутствие прозрачности делает API-интерфейсы критической точкой атаки. Программное обеспечение Salt обнаружило, что 91% API-интерфейсов её клиентов раскрывают личные или иным образом конфиденциальные данные.

Компании знают об этих проблемах безопасности и рассматривают их как значительный риск. Согласно отчёту, их опасения задержали 66% развертываний API. Документ предупреждает, что слишком много внимания уделяется предварительному поиску угроз API и слишком много людей полагаются на разработчиков и команды DevOps, чтобы выявить проблемы безопасности API. Компании должны расширять сотрудничество между своими командами безопасности и разработки.

Как сообщал Startpack, ранее Google объявила о запуске следующего крупного релиза платформы управления Apgiee API.

Startpack также подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников для любых устройств.

Особая рекомендация: Антивирус Касперского — антивирусная программа, целью которой является предотвращение заражения системы пользователя, а не поиск уже обнаруженного вредоносного программного обеспечения в системе.