API становятся проблемной зоной кибербезопасности

API становятся проблемной зоной кибербезопасности. Фото: Pixabay

Об этой тенденции говорится в новом отчете Noname Security. Исследователи опросили 3 тыс. сотрудников из 350 компаний. Их спрашивали о проблемах, связанных с API.

Компания обнаружила, что в наши дни API-интерфейсы чрезвычайно популярны: в среднем организация использует в общей сложности 15 564 API, что на 201% больше, чем в прошлом году.

Однако многие компании сталкиваются с проблемами. Более двух из пяти (41%) сталкивались с инцидентами кибербезопасности, связанными с API, за последние двенадцать месяцев, причем почти две трети (63%) из них были связаны с нарушением или потерей данных .

Например, одна из крупнейших платформ автоматизации маркетинга и сервисов электронного маркетинга, MailChimp, была взломана злоумышленниками, которые получили доступ к API-ключам (теперь несуществующим) от неизвестного числа клиентов. 

С помощью ключей злоумышленники могли создавать собственные кампании по электронной почте и отправлять их в списки рассылки, не заходя на клиентский портал MailChimp.

Почти во всех (90%) компаниях настроены политики аутентификации API, но треть (31%) заявили, что не совсем уверены, что эти политики обеспечивают адекватный уровень защиты.

Более того, у трети (35%) проекты были отложены из-за проблем с безопасностью API, при этом 87% из них считают, что интеграция тестирования безопасности API в конвейеры разработчиков могла бы предотвратить задержки. 

Примерно половина (51%) полностью уверены в своих API-инвентаризациях, а четверть (26%) добавили, что процессы обновления их инвентаризации выполняются вручную.

Из сообщения Дэниела Кеннеди, главного аналитика-исследователя в 451 Research:

«Поскольку использование API продолжает расти, этот экстремальный уровень использования и зависимости позволил выявить множество уязвимостей, что делает защиту этих API в разных секторах более важной, чем когда-либо. Этот отчет должен помочь предприятиям любого размера в различных секторах принимать обоснованные решения, необходимые им при разработке стратегии безопасности API».

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме

• Microsoft отключает протокол SMB1 в Windows 11 для безопасной передачи файлов.
• VPN провайдер Bitdefender внедряет антитрекер и блокировщик рекламы.
• Ошибка Microsoft Defender испугала пользователей Google Chrome.
• Google предупредит о потенциально опасных расширениях Chrome с помощью значка.