لماذا لا تستطيع الشركات التغاضي عن أمان واجهة برمجة التطبيقات في عام 2023
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
يعد أمان التطبيقات وواجهة برمجة التطبيقات أمرًا حيويًا لحماية بيئات المؤسسات الحديثة. ومع ذلك ، فإن معظم المنظمات تفشل في تنفيذه.
وفقًا لـ Salt Security ، لم تواجه 94٪ من المؤسسات مشاكل أمنية في إنتاج واجهات برمجة التطبيقات العام الماضي فحسب ، بل عانت واحدة من كل خمسة بالفعل من اختراق البيانات نتيجة الثغرات الأمنية في واجهات برمجة التطبيقات.
المنظمات المعروفة بما في ذلك Experian ، و Peloton ، ومؤخرًا ، FBI ، عانت جميعها من انتهاكات متعلقة بواجهة برمجة التطبيقات. في أحدث هجوم على واجهة برمجة التطبيقات على مكتب التحقيقات الفيدرالي ، تمكن المتسللون من الوصول إلى قاعدة بيانات تم فحصها للمديرين التنفيذيين تسمى InfraGuard ، حيث يمكن لأعضاء القطاع الخاص التعاون مع مكتب التحقيقات الفيدرالي لمشاركة بيانات التهديد.
للوصول إلى InfraGuard ، قدم المحتال طلبًا للحصول على حساب باستخدام البيانات الشخصية لرئيس تنفيذي غير معروف. بمجرد موافقة مكتب التحقيقات الفيدرالي على التطبيق ، استخدم المخترق برنامج Python النصي لاسترداد بيانات المستخدم من خلال واجهة برمجة تطبيقات مكشوفة.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
وكانت النتيجة تسربًا وتسريبًا في منتدى القرصنة لأكثر من 80 ألفًا من بيانات الأمن السيبراني وأصحاب المصلحة في القطاع الخاص ، بما في ذلك أسمائهم وعناوين بريدهم الإلكتروني وصناعة التوظيف ومعرفات مستخدمي وسائل التواصل الاجتماعي.
واجهات برمجة التطبيقات (APIs): بوابة للترابط وسرقة البيانات
سلط هذا الحادث الضوء على أنه بينما تلعب واجهات برمجة التطبيقات دورًا مهمًا في تمكين تبادل البيانات بين التطبيقات والخدمات الصغيرة والخدمات ، فإنها يمكن أيضًا أن توفر لمجرمي الإنترنت بوابة لبيانات المستخدم إذا تُركوا دون حماية.
بطبيعة الحال ، فإن حماية هذه البنية التحتية أسهل في القول من الفعل ، نظرًا لأن المؤسسات لديها متوسط 15،564 واجهة برمجة تطبيقات لتأمينها ، وفجوة خبرة متنامية.
يرى المتسللون واجهات برمجة التطبيقات على أنها هدف سهل لهجمات man-in-the-middle أو سرقة مفتاح API وسرقة الرموز ، للوصول إلى معلومات عالية القيمة بما في ذلك معلومات التعريف الشخصية (PII) والملكية الفكرية (IP).
واجهات برمجة التطبيقات هي الخيط المشترك الذي يربط جميع الأجهزة والخدمات المصغرة ؛ يمكن أن يكون الوصول إلى خط الأنابيب الذي يحمل المعلومات المطلوبة أمرًا مربحًا. قال فيليب فيرلوي ، كبير مسؤولي التكنولوجيا في مجال EMA في مزود واجهة برمجة التطبيقات Noname Security ، “في حملة اليوم نحو التحول الرقمي ، تزداد شعبية واستخدام واجهات برمجة التطبيقات ، كما يزداد مشهد المخاطر الإلكترونية المرتبط بها”.
لا تكمن المشكلة في أن واجهات برمجة التطبيقات (API) غير آمنة ، ولكن هناك الكثير من واجهات برمجة التطبيقات المستخدمة في بيئات المؤسسات الحديثة بحيث لا يتم ملاحظة هذه الثغرات الأمنية ولا يتم معالجتها.
في الواقع ، وفقًا لشركة Gartner ، بحلول عام 2025 ، ستتم إدارة أقل من 50٪ من واجهات برمجة التطبيقات الخاصة بالمؤسسات ، حيث يفوق النمو في واجهات برمجة التطبيقات إمكانات أدوات إدارة واجهة برمجة التطبيقات.
قال فيرلوي: “مع زيادة عدد واجهات برمجة التطبيقات المستخدمة ، يصبح من الصعب على المؤسسات تأمينها وتعقبها”. “إذا كان المهاجمون يجربون حظهم في الصناعات والشركات التي يعرفون أنها مليئة بواجهات برمجة التطبيقات ، فمن المحتمل أنهم سيجدون واجهة برمجة تطبيقات غير مصادق عليها – على غرار ما حدث أثناء اختراق Optus.”
تحديات أمان API: نقاط الضعف في التوكنات
عند البحث عن استغلال واجهة برمجة تطبيقات (API) ، سيحاول ممثلو التهديد غالبًا جمع بيانات اعتماد العميل ومفاتيح واجهة برمجة التطبيقات للوصول إلى البيانات الأساسية.
العديد من إجراءات مصادقة API قابلة للاستغلال بسهولة. على سبيل المثال ، تستخدم بعض واجهات برمجة التطبيقات مفاتيح API أو الرموز المميزة لتخويل وصول العميل إلى مجموعات البيانات. يستدعي العميل واجهة برمجة التطبيقات ويستخدم مفتاح مصادقة فريدًا أو بيانات اعتماد لمصادقة هوية العميل وتبادل البيانات مع الخدمة.
تكمن المشكلة في ذلك في أنه إذا لم يتم تشفير المعلومات باستخدام HTTPS أثناء المكالمة ، فيمكن للمتسلل التنصت على الاتصال وحصاد الرمز المميز من العميل واستخدامه لجمع البيانات من واجهة برمجة التطبيقات.
قال Faiyaz Shahpurwala ، كبير مسؤولي المنتجات والاستراتيجيات في Fortanix: “المصادقة متعددة العوامل هي الآن الإعداد الافتراضي لمصادقة المستخدم البشري ، لكن واجهات برمجة التطبيقات تعتمد عادةً على بيانات اعتماد واحدة ، والتي غالبًا ما تكون مشفرة كمفتاح واجهة برمجة تطبيقات”.
قال شاهبوروالا: “هذه المشكلة ، جنبًا إلى جنب مع الوصول النظامي والذكاء (أي الإجراءات المدعومة للمستخدمين المصادق عليهم وما هي مكونات النظام التي يمكن الوصول إليها عبر واجهة برمجة التطبيقات) المقدمة ، تجعل واجهات برمجة التطبيقات هدفًا مناسبًا للمهاجمين الذين يتطلعون إلى اختراق الشبكات”.
وبالتالي ، تحتاج الشركات إلى تنفيذ ضوابط مصادقة متزايدة ، مثل المصادقة متعددة العوامل للوصول إلى الرمز ، للتحقق من هوية العملاء قبل السماح بالاتصال.
هل تريد تأمين واجهات برمجة التطبيقات؟ ابدأ بالرؤية ، وانتقل إلى عناصر التحكم
عند البحث عن تأمين واجهات برمجة التطبيقات على مستوى عالٍ ، تحتاج المؤسسات إلى الحصول على منظور كامل لواجهات برمجة التطبيقات الخارجية والداخلية الموجودة في جميع أنحاء البيئة.
وهذا يعني استخدام أدوات من مزودين مثل Salt Security و Noname Security لاكتشاف وإنشاء مخزون من واجهات برمجة التطبيقات تلقائيًا ، ولتحديد مخاطر الأمان المحتملة.
بالإضافة إلى ذلك ، ستحتاج المؤسسات إلى تعاون مفتوح بين المطورين وفرق الأمان.
قالت ساندي كارييلي ، المحللة الرئيسية والأمن والمخاطر في Forrester: “سترغب فرق الأمن في العمل مع نظرائهم المطورين للحصول على عملية لنشر وتحديث واجهات برمجة التطبيقات”. “يجب على قادة الأمن الاستفادة من أدوات اكتشاف وجرد واجهة برمجة التطبيقات للحصول على عرض دقيق لواجهات برمجة التطبيقات التي يتم نشرها في بيئتهم.”
يقترح Carielli أن تقوم المؤسسات بتنفيذ بوابات API للمصادقة والتفويض وتحديد المعدل ، أثناء استخدام أدوات إدارة WAF و bot لإدارة حركة المرور الضارة والتخفيف من حدتها.
يمكن أن تساعد الإجراءات الأخرى ، مثل إلغاء تنشيط واجهات برمجة تطبيقات zombie (واجهات برمجة التطبيقات التي تم إيقافها والتي لم يتم تعطيلها) وتنفيذ عناصر تحكم إدارة الوصول والهوية المستندة إلى الأدوار أو السياسة لإنشاء واجهات برمجة التطبيقات والوصول إليها وإدارتها ، في التخفيف من المخاطر الأخرى.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.