درک چشم انداز تعاملات، رفتارها و بردارهای تهدید بالقوه مرز بعدی امنیت API است. با این حال، از هر ۱۰ شرکت، چهار شرکت هنوز نمیتوانند همه APIهایی را که استفاده میکنند، پیدا کنند.
در دنیای دیجیتالی امروزی که به سرعت در حال تغییر است، API ها به نقطه محوری برای ارائه سریع عملکردهای تجاری تبدیل شده اند. این کانکتورهای دیجیتال زیربنای بسیاری از نوآوریهای سازمانی هستند که امروزه شاهد آن هستیم، از تجربیات یکپارچه مشتری تا اکوسیستمهای یکپارچه شریک. با این حال، بهعنوان مدیر ارشد فناوری Traceable، نمیتوانم از مشاهده یک الگوی رو به رشد (و خیرهکننده) خودداری کنم: با افزایش استفاده از API، خطرات بالقوه بهطور تصاعدی رشد میکنند. بیایید برای روشن کردن وضعیت فعلی امنیت API به داده های سخت بپردازیم.
اندازه گیری رونق API
نگاهی عمیق به وضعیت جهانی امنیت API Traceable حقیقتی عمیق را آشکار می کند: API ها برای تحول دیجیتال جهانی غیرقابل انکار حیاتی هستند. در تجزیه و تحلیل ما، ۵۷ درصد قابل توجهی از سازمانها اهمیت APIها را در ۷ یا بالاتر در مقیاس ۱ تا ۱۰ ارزیابی میکنند، که مجموعاً ۲۹ درصد، بالاترین سطح اهمیت را ۹ یا ۱۰ میدهند. این یک روند صرف نیست. اما یک تغییر اساسی در استراتژی فناوری کسب و کار.
با این حال، یک ضد روایت نگرانکننده ظاهر میشود. در حالی که اکثریت قریب به اتفاق، به طور دقیق ۸۸٪، از بیش از ۲۵۰۰ برنامه کاربردی ابری استفاده می کنند – که بر وب گسترده API تاکید دارد – فقط ۵۹٪ ادعا می کنند که می توانند همه API های در حال استفاده را کشف کنند. هنگامی که نقش اصلی API ها را در نظر می گیرید، این اعداد یک قطع ارتباط قابل توجه را نشان می دهند. تصور کنید شبکهای از خطوط لوله را در یک شهر میسازید، اما مسیر آنها را از دست میدهید. در حوزه دیجیتال، APIهای شناسایی نشده و محافظت نشده مسیرهای پنهان حملات سایبری هستند.
ظرافت های امنیتی API
در حالی که اهمیت APIها در اکوسیستم دیجیتال ما قابل اغراق نیست، پیچیدگیهای امنیتی آنها همچنان حوزهای است که اکثر سازمانها در آن دچار تزلزل میشوند. عمیقتر شدن در دادهها به ما دیدگاه روشنتری در مورد این تفاوتها و شکافهای موجود در بیشتر استراتژیهای امنیتی میدهد.
این واقعاً خبر خوبی است که ۵۱٪ از سازمانها اسکنهای سریع را برای شناسایی و حذف APIهای آسیبپذیر از محیطهای تولید اجرا میکنند. این رویکرد پیشگیرانه درک تهدیدهای فوری را نشان می دهد. با این حال، میدان جنگ واقعی بسیار وسیع و بسیار پیچیدهتر است. دادههای ما نشان میدهد که چالشها فقط در تشخیص فوری تهدید نیستند، بلکه در لایههای فعالیتها، رفتارها و جریانهای به هم پیوستهای هستند که APIها ایجاد میکنند.
فقط ۵۹٪ از سازمان ها راه حل هایی دارند که آنها را قادر می سازد همه API های در حال استفاده را کشف کنند. این اساساً بدان معنی است که درصد قابل توجهی از APIهای سازمانی خارج از رادار و بنابراین خارج از چارچوب حاکمیت API باقی می مانند. یک API کشف نشده یک API نظارت نشده است و یک API نظارت نشده دروازه بالقوه ای برای تهدیدات سایبری است. پیامدها بسیار گسترده هستند، از دسترسی غیرمجاز به داده ها تا اختلالات عملیاتی و موارد دیگر. هر آسیبپذیری، خواه وجود داشته باشد یا روز صفر، فقط منتظر است تا توسط مهاجمان با استفاده از مکانیسمهای پیچیده برای جستجوی آنها در برنامههای کاربردی حیاتی مورد سوء استفاده قرار گیرد.
برای امنیت API، زمینه کلیدی است
علاوه بر این، تسلط کلی در امنیت API از درک تعاملات پیچیده ناشی می شود. تنها ۳۸ درصد از سازمان ها راه حل هایی دارند که آنها را قادر می سازد تا زمینه بین فعالیت های API، رفتارهای کاربر، جریان داده ها و اجرای کد را درک کنند. در اکوسیستم های دیجیتالی بیش از حد متصل، درک این داده ها بسیار مهم است. یک ناهنجاری در رفتار کاربر یا یک جریان داده مشکوک ممکن است نشانههای اولیه تلاش برای نقض یا سوء استفاده از آسیبپذیری باشد.
علاوه بر این، قابلیت تنظیم پاسخ های امنیتی بر اساس پارامترهای تهدید پویا ضروری است. در حالی که پروتکلهای امنیتی تعمیمیافته میتوانند تهدیدهای رایج را خنثی کنند، دفاع سفارشیشده بر اساس عوامل تهدید، توکنهای در معرض خطر، سرعت سوء استفاده از IP، موقعیتهای جغرافیایی، IP ASN و الگوهای حمله خاص میتوانند تفاوت بین تهدید دفع شده و نقض امنیتی باشند. با این حال، بیشتر سازمانها این قابلیت را ندارند.
در نهایت، شرکت ها همچنان نیاز به نظارت و درک الگوهای ارتباطی بین نقاط پایانی API و خدمات برنامه را نادیده می گیرند. یک API ممکن است همانطور که در نظر گرفته شده است عمل کند، اما اگر الگوی ارتباطی آن غیرعادی باشد یا تعامل آن با سایر سرویسها غیرمنتظره باشد، میتواند نشانگر آسیبپذیریها یا پیکربندیهای نادرست باشد.
اکثر شرکتها گامهای اساسی را به سمت امنیت API برداشتهاند. با این حال، تخلفات همچنان ادامه دارد. از سازمانهایی که اخیراً نقض شدهاند، ۷۴٪ حداقل سه مورد نقض مرتبط با API را تجربه کردهاند در دو سال گذشته نیاز واضحی به کندوکاو در زیربنای آنچه واقعاً از APIها محافظت می کند وجود دارد.
کشف همه APIهای خود و اسکن آنها برای آسیبپذیری تنها اولین قدم است. درک چشم انداز تعاملات، رفتارها و بردارهای تهدید بالقوه جایی است که مرز بعدی امنیت API نهفته است.
پیمایش آینده امنیت API
با توجه به مرکزیت APIها در آینده دیجیتالی ما، سازمانها با چالش دوگانه روبرو هستند. اول، آنها باید به طور کامل دامنه اکوسیستم دیجیتال خود را بشناسند، نقش هر API و آسیب پذیری های بالقوه را درک کنند. تهدیدهای خاموش – مانند APIهای سایه و APIهای زامبی – باید شناسایی و به آنها رسیدگی شود. هر دری پنهان می تواند به نقطه ورود برای بهره برداری تبدیل شود.
ثانیاً، پارادایم امنیت API نیازمند یک بازنگری جامع است، به ویژه در پرداختن به چالش فزاینده سوء استفاده از API. سوء استفاده از API، که در آن عوامل تهدید، عملکرد API را برای دستیابی به اهداف مخرب دستکاری می کنند، به یک نگرانی جدی تبدیل شده است. اقدامات ساده ای مانند کشف API ها یا انجام تست های آسیب پذیری معمول کافی نیست. ما باید یک موضع پیشگیرانه و آینده نگر اتخاذ کنیم که به طور خاص با چنین سوء استفاده هایی مقابله کند. تدابیر امنیتی باید در هر مرحله از چرخه حیات API – از توسعه تا استقرار، و تا نظارت مستمر و هوشیار در هم تنیده شود.
در اصل، در حالی که APIها به محور تلاشهای تحول دیجیتال ما تبدیل شدهاند، ممکن است زیرساختهای امنیتی فعلی ما برای موج چالشهایی که به همراه دارند آماده نباشند. دادههای جدید تصویر واضحی را ترسیم میکنند. API ها هم نقطه قوت و هم ضعف بالقوه ما هستند. همانطور که ما به سمت آینده ای مبتنی بر API هدایت می شویم، ایجاد تعادل بین قدرت تغییردهنده API ها با رویکردی به همان اندازه تکامل یافته برای امنیت API بسیار مهم خواهد بود.
سانجی ناگاراج، مدیر ارشد فناوری در قابل ردیابی است.
—
New Tech Forum مکانی را برای رهبران فناوری – از جمله فروشندگان و سایر مشارکتکنندگان خارجی – فراهم میکند تا فناوری سازمانی نوظهور را در عمق و وسعت بیسابقه بررسی و بحث کنند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه پرس و جوها را به doug_dineley@foundryco.com.
پست های مرتبط
وضعیت امنیت API در سال ۲۰۲۳
وضعیت امنیت API در سال ۲۰۲۳
وضعیت امنیت API در سال ۲۰۲۳