Новости

Apr 28, 2023

Отчет FireTail показывает, что нарушений безопасности API немного, но они смертельны

Главная » Бульвар Безопасности (Оригинал) » В отчете FireTail обнаружена безопасность API

Главная » Бульвар Безопасности (Оригинал) » В отчете FireTail говорится, что нарушений безопасности API немного, но они смертельны

Анализ нарушений кибербезопасности в 2022 году, проведенный FireTail, поставщиком платформы для защиты интерфейсов прикладного программирования (API), обнаружил только 12 публично зарегистрированных нарушений, связанных с API, еще шесть были раскрыты в 2023 году.

Однако средний размер уязвимости к утечке данных API составляет более 10 миллионов записей на инцидент. В отчете говорится, что общая стоимость одной взломанной записи составляет 180 долларов США, а общая стоимость нарушений безопасности API легко может достигать 85 миллиардов долларов США.

Двумя наиболее распространенными категориями утечек данных, связанных с безопасностью API, являются авторизация при 135 миллионах записей, или 28% всех взломанных записей, и аутентификация при 105 миллионах записей, или 22% всех взломанных записей.

Генеральный директор FireTail Джереми Снайдер заявил, что, поскольку более 85% интернет-трафика проходит через API, теперь количество нарушений безопасности API и рост общих затрат — лишь вопрос времени. К сожалению, уровень внимания к безопасности API не соизмерим с потенциальным риском для бизнеса, добавил он.

Кроме того, уровень доступных знаний в области безопасности API остается ограниченным. Например, в процессе аутентификации часто упускают из виду необходимость неоднократной проверки учетных данных аутентификации и привязки учетных данных к активному сеансу. Долгосрочные учетные данные, такие как статические ключи API, подвержены разрастанию секретов. Некоторые распространенные механизмы аутентификации могут даже создавать уязвимости в API.

Таким образом, важно, чтобы API были предназначены для принудительной аутентификации на регулярной основе, а не только для проверки соответствия токена ожидаемому формату.

Не всегда понятно, кто отвечает за безопасность API. Но поскольку киберпреступники понимают, сколько данных можно извлечь с помощью API, очевидно, существует необходимость в более тесном сотрудничестве между командами по кибербезопасности, которым поручено защищать эти API, и разработчиками, которые их создают.

Еще более сложной задачей является то, что количество API-интерфейсов, развертываемых в производственных средах, значительно возросло, главным образом благодаря появлению приложений на основе микросервисов, которые широко их используют. Также нередко разработчики развертывают так называемый зомби-API, который больше не поддерживается, но по-прежнему доступен для доступа и манипулирования внешними субъектами угроз. Кроме того, часто существуют мошеннические API, которые были настроены без ведома кого-либо из ИТ-специалистов. Самая большая проблема, с которой команды по кибербезопасности столкнутся при использовании API, заключается в том, что невозможно защитить то, о чем они не знают, отметил Снайдер.

Теоретически, по крайней мере, команды разработчиков приложений, которые используют методы DevSecOps для создания и развертывания приложений, возьмут на себя больше ответственности за безопасность API, но за любое нарушение всегда будет отвечать команда кибербезопасности. Однако исторически команды по кибербезопасности уделяли больше внимания защите периметров и конечных точек, поэтому большая часть бюджетных средств, выделяемых на кибербезопасность, не применяется к API.

Ситуация может измениться в ближайшие месяцы, поскольку нарушения API станут более распространенным явлением. Тем временем, команды по кибербезопасности должны — по крайней мере — составить список API-интерфейсов, о которых они знают и которые обязаны защищать, независимо от того, кто их создал.