يوضح خرق بيانات T-Mobile أنه لا يمكن تجاهل أمان واجهة برمجة التطبيقات
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
أمان المؤسسة ليس بالأمر السهل. يمكن أن تؤدي عمليات المراقبة الصغيرة حول الأنظمة ونقاط الضعف إلى انتهاكات للبيانات تؤثر على ملايين المستخدمين. لسوء الحظ ، فإن أحد أكثر عمليات المراقبة شيوعًا في عالم واجهات برمجة التطبيقات.
بالأمس فقط ، كشفت T-Mobile أن أحد الفاعلين المهددين سرق المعلومات الشخصية لـ 37 مليون حساب عملاء مدفوع الدفع الآجل ومقدم الدفع عبر واجهة برمجة تطبيقات مكشوفة (استغلوها بين 25 نوفمبر 2022 و 5 يناير 2023). لم يشارك البائع كيف استغل المتسللون واجهة برمجة التطبيقات.
يسلط هذا الحادث الضوء على أن أمان واجهة برمجة التطبيقات يجب أن يكون على رأس جدول أعمال CISOs والمؤسسات إذا كانوا يريدون حماية بيانات العملاء من الوقوع في الأيدي الخطأ.
اتجاه استغلال API
مع تزايد اعتماد السحابة بشكل كبير على مدى السنوات القليلة الماضية ، حذر المحللون منذ فترة طويلة الشركات من أن موجة المد والجزر من استغلال واجهة برمجة التطبيقات (API) قد بدأت في التخمير. بالعودة إلى عام 2021 ، توقعت شركة جارتنر أنه في عام 2023 ، سينتقل إساءة استخدام واجهة برمجة التطبيقات من غير متكرر إلى ناقل الهجوم الأكثر شيوعًا.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
تبدو هذه التوقعات دقيقة ، حيث أظهرت الأبحاث أن 53٪ من المتخصصين في مجال الأمن والهندسة أبلغوا عن تعرض مؤسساتهم لخرق بيانات لشبكة أو تطبيق بسبب الرموز المميزة لواجهة برمجة التطبيقات (API) المخترقة.
بالإضافة إلى ذلك ، قبل شهر واحد فقط ، كشف المتسللون عن حسابات وعناوين بريد إلكتروني لـ235 مليونًا تويتر المستخدمين بعد استغلال ثغرة في واجهة برمجة التطبيقات تم شحنها في الأصل في يونيو 2021 ، والتي تم تصحيحها لاحقًا.
نظرًا لأن الجهات الفاعلة في التهديد تتطلع إلى استغلال واجهات برمجة التطبيقات في كثير من الأحيان ، لا تستطيع المؤسسات الاعتماد على حلول الأمن السيبراني القديمة لحماية سطح الهجوم الواسع هذا. لسوء الحظ ، فإن الحديث عن الترقية إلى حلول محدثة أسهل من فعله.
قال كريس دومان ، رئيس قسم التكنولوجيا والشريك المؤسس لشركة Cado Security: “قد يكون الوصول غير المصرح به إلى واجهة برمجة التطبيقات أمرًا صعبًا للغاية بالنسبة للمؤسسات للمراقبة والتحقيق – خاصة بالنسبة لشركات المؤسسات – نظرًا لحجمها الهائل”.
قال دومان: “نظرًا لأن المزيد من المؤسسات تنقل البيانات إلى السحابة ، يصبح أمان واجهة برمجة التطبيقات أكثر صلة بالأنظمة الموزعة”.
يشير دومان إلى أن المنظمات التي تتطلع إلى عزل نفسها عن حوادث مثل تجربة T-Mobile تحتاج إلى “رؤية مناسبة” في الوصول إلى واجهة برمجة التطبيقات والنشاط الذي يتجاوز عمليات التسجيل التقليدية.
هذا مهم لأنه يمكن تجنب التسجيل – كما كان الحال مع ثغرة أمنية في واجهات برمجة تطبيقات AWS التي سمحت للمهاجمين بتجاوز تسجيل CloudTrail.
ما مدى سوء خرق بيانات T-Mobile API؟
بينما زعمت T-Mobile أن المهاجمين لم يتمكنوا من الوصول إلى معلومات بطاقات الدفع الخاصة بالمستخدمين أو كلمات المرور أو رخص القيادة أو المعرفات الحكومية أو أرقام الضمان الاجتماعي ، فإن المعلومات التي تم جمعها توفر مواد كافية لتنفيذ هجمات الهندسة الاجتماعية.
قال كليف: “على الرغم من أن T-Mobile قد كشفت علنًا عن خطورة الحادث ، جنبًا إلى جنب مع استجابتها – قطع وصول جهات التهديد عبر استغلال واجهة برمجة التطبيقات (API) – إلا أن الخرق لا يزال يهدد عناوين الفواتير ورسائل البريد الإلكتروني وأرقام الهواتف وتواريخ الميلاد وغير ذلك. شتاينهاور. ، مدير أمن المعلومات والمشاركة في NCA.
قال شتاينهاور: “إنها معلومات أساسية ، لكنها كافية فقط لرسم وتنفيذ حملة هندسة اجتماعية مقنعة كافية يمكنها تعزيز قدرة الجهات الفاعلة السيئة على شن هجمات جديدة”.
تتضمن هذه الهجمات هجمات التصيد الاحتيالي وسرقة الهوية واختراق البريد الإلكتروني للأعمال (BEC) وبرامج الفدية الضارة.
لماذا تحدث خروقات API؟
تعد واجهات برمجة التطبيقات هدفًا رئيسيًا للجهات الفاعلة في مجال التهديد لأنها تسهل الاتصال بين التطبيقات والخدمات المختلفة. تحدد كل واجهة برمجة تطبيقات آلية لمشاركة البيانات مع خدمات الجهات الخارجية. إذا اكتشف المهاجم ثغرة أمنية في إحدى هذه الخدمات ، فيمكنه الوصول إلى البيانات الأساسية كجزء من هجوم man-in-the-middle.
هناك زيادة في الهجمات المستندة إلى واجهة برمجة التطبيقات – ليس لأن هذه العناصر غير آمنة بالضرورة ، ولكن لأن العديد من فرق الأمان ليس لديها العمليات الموجودة لتحديد وتصنيف واجهات برمجة التطبيقات على نطاق واسع ، ناهيك عن معالجة الثغرات الأمنية.
تم تصميم واجهات برمجة التطبيقات لتوفير وصول جاهز للتطبيقات والبيانات. قال مارك أونيل ، محلل نائب الرئيس في شركة Gartner ، “هذه فائدة عظيمة للمطورين ، ولكنها أيضًا نعمة للمهاجمين”. تبدأ حماية واجهات برمجة التطبيقات باكتشاف واجهات برمجة التطبيقات وتصنيفها. لا يمكنك تأمين ما لا تعرفه “.
بطبيعة الحال ، فإن جرد واجهات برمجة التطبيقات هو مجرد قمة جبل الجليد ؛ تحتاج فرق الأمن أيضًا إلى استراتيجية لتأمينها.
ثم يتضمن استخدام بوابات API وتطبيق الويب وحماية واجهة برمجة التطبيقات (WAAP) واختبار أمان التطبيقات. تتمثل المشكلة الرئيسية في أن أمان واجهة برمجة التطبيقات ينقسم إلى مجموعتين: الفرق الهندسية ، التي تفتقر إلى المهارات الأمنية ، وفرق الأمان ، التي تفتقر إلى مهارات واجهة برمجة التطبيقات. ”
وبالتالي ، تحتاج المؤسسات إلى تنفيذ نهج على غرار DevSecOps لتحسين تقييم أمان التطبيقات قيد الاستخدام (أو قيد التطوير) داخل البيئة ، وتطوير استراتيجية لتأمينها.
تحديد الثغرات الأمنية في واجهة برمجة التطبيقات والحد منها
إحدى الطرق التي يمكن للمؤسسات من خلالها البدء في تحديد الثغرات الأمنية في واجهات برمجة التطبيقات هي تنفيذ اختبار الاختراق. يمكن أن يساعد إجراء اختبار اختراق داخلي أو بقيادة جهة خارجية فرق الأمان على معرفة مدى تعرضها لاستغلال واجهة برمجة التطبيقات ، وتوفير خطوات قابلة للتنفيذ حول كيفية تحسين وضع أمان السحابة بمرور الوقت.
“بالنسبة لجميع أنواع البرامج ، من الضروري أن تستخدم الشركات كودًا محدثًا وأن تتحقق من أمان أنظمتها ، على سبيل المثال ، من خلال ترتيب اختبار الاختراق – وهو تقييم أمني يحاكي أنواعًا مختلفة من المتسللين … والهدف منه هو رفع الامتيازات الحالية و قال ديفيد إيم ، الباحث الأمني الرئيسي في Kaspersky “الوصول إلى البيئة”.
بالإضافة إلى ذلك ، من الجيد أن تستثمر المؤسسات في الاستجابة للحوادث ، لذلك إذا تم استغلال واجهة برمجة التطبيقات ، فيمكنها الاستجابة بسرعة للحد من تأثير الاختراق.
قال Emm: “لكي تكون في الجانب الآمن عندما تواجه الشركة حادثة ما ، يمكن لخدمات الاستجابة للحوادث أن تساعد في تقليل العواقب ، لا سيما من خلال تحديد العقد المخترقة وحماية البنية التحتية من هجمات مماثلة في المستقبل”.
دور الثقة المعدومة
تكون واجهات برمجة التطبيقات (API) غير المصادق عليها والواجهة العامة عرضة لاستدعاءات واجهة برمجة التطبيقات الضارة ، حيث سيحاول المهاجم الاتصال بالكيان واستخراج جميع البيانات التي يمكنه الوصول إليها. بنفس الطريقة التي لا تثق بها ضمنيًا في مستخدم للوصول إلى معلومات تحديد الهوية الشخصية ، يجب ألا تثق تلقائيًا في واجهة برمجة التطبيقات أيضًا.
لهذا السبب من الضروري تنفيذ استراتيجية عدم الثقة ، ونشر آلية مصادقة وتفويض لكل واجهة برمجة تطبيقات فردية لمنع الأفراد غير المصرح لهم من الوصول إلى بياناتك.
“عندما يكون لديك بيانات حساسة (في هذه الحالة ، أرقام هواتف العملاء ، وعناوين الفواتير وعناوين البريد الإلكتروني ، وما إلى ذلك) منتشرة عبر قواعد البيانات ، ومختلطة مع البيانات الأخرى ، والوصول إلى تلك البيانات التي لم تتم إدارتها بشكل صحيح ، يصعب تجنب هذه الأنواع من الانتهاكات.” قال أنوشو شارما ، المؤسس المشارك والرئيس التنفيذي لشركة Skyflow.
تدرك أفضل الشركات التي تدير البيانات الأكثر حساسية أنه يجب عليها اعتماد هياكل عدم ثقة جديدة. الممثلون السيئون يزدادون ذكاءً. قال شارما: “لم يعد اعتماد تقنية الخصوصية الجديدة خيارًا بعد الآن ، بل أصبح أمرًا مهمًا”.
يمكن أن يساعد الجمع بين أطر التحكم في الوصول مثل OAuth2 مع إجراءات المصادقة مثل اسم المستخدم وكلمة المرور ومفاتيح واجهة برمجة التطبيقات في فرض مبدأ الامتياز الأقل وضمان وصول المستخدمين إلى المعلومات التي يحتاجون إليها فقط لأداء دورهم.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
