لقد منح المشهد الرقمي سريع التطور المؤسسات ثروة من القدرات، ويرجع ذلك إلى حد كبير إلى انتشار التطبيقات السحابية. ومع ذلك، تأتي مع هذه النعمة نقمة محتملة: مخاطر غير معروفة، والتي قد لا تقدرها المنظمات بشكل كامل أو حتى تعترف بها. نظرة أعمق على البيانات من "Treable's"حالة أمان واجهة برمجة التطبيقات لعام 2023: النتائج العالميةيقدم التقرير رؤى عميقة حول طبيعة هذه المخاطر غير المعروفة.
جمعت هذه الدراسة رؤى من 1,629 مشاركًا في أكثر من 100 دولة وستة صناعات رئيسية. والبيانات مثيرة للقلق: فقد واجهت 74% من المؤسسات ما لا يقل عن ثلاثة انتهاكات للبيانات ذات صلة بواجهة برمجة التطبيقات (API) في العامين الماضيين. وهذا بمثابة دعوة للاستيقاظ تسلط الضوء على الاتجاه المقلق المتمثل في ارتفاع الانتهاكات. وفي الوقت نفسه، تنشر 88% من المؤسسات أكثر من 2,500 تطبيق سحابي، مما يشير إلى مستوى عالٍ من التبعية والاتصال الرقمي. ومن المؤكد أن مثل هذه الشبكة الواسعة من نقاط الاتصال الرقمية تعمل على توسيع سطح الهجوم.
وينطوي هذا المشهد الرقمي الواسع على إمكانات هائلة، ولكن لا ينبغي لأحد أن يقلل من شأن سطح الهجوم الواسع النطاق الذي يمثله.
فك رموز المخاطر المجهولة
المشكلة الرئيسية التي تبرز في نتائج الدراسة هي مسألة المخاطر غير المعروفة. على الرغم من ارتفاع معدلات اختراق واجهات برمجة التطبيقات، فإن 40% من المؤسسات تقوم باستمرار باختبار جزء صغير فقط من واجهات برمجة التطبيقات الخاصة بها بحثًا عن نقاط الضعف. ويؤدي هذا الإشراف المحتمل إلى مستوى ثقة يبلغ 26% فقط في منع الهجمات، في حين أن 21% فقط من هجمات واجهة برمجة التطبيقات (API) قابلة للاكتشاف والاحتواء.
ويتمثل التحدي الأساسي في أن العديد من المؤسسات تظل في حالة جهل بشأن مدى مخاطر واجهة برمجة التطبيقات. ومن المثير للدهشة أن 27% فقط من المؤسسات تعطي أولوية عالية للغاية للحصول على ملف تعريف المخاطر الأمنية لكل واجهة برمجة تطبيقات، مما يؤكد وجود رقابة محتملة في تقييم المخاطر. عند سؤالهم عن العوامل التي تعيق إعطاء الأولوية لأمن واجهة برمجة التطبيقات، أشار 49% منهم إلى أن الإدارة تقلل من تقدير المخاطر، بينما واجه 37% صعوبة في فهم إجراءات الحد من التهديدات.
واجهات برمجة التطبيقات: توسيع سطح الهجوم
يؤدي انتشار واجهات برمجة التطبيقات إلى توسيع نطاق نقاط الضعف المحتملة ونواقل الهجوم بشكل كبير. وفقًا للدراسة، فإن 58% من المشاركين إما يوافقون بشدة أو يوافقون على أن واجهات برمجة التطبيقات تعمل دائمًا على توسيع سطح الهجوم عبر جميع طبقات التكنولوجيا. وهذا أمر بالغ الأهمية لعدة أسباب:
-
الحجم الهائل لواجهات برمجة التطبيقات: خذ في الاعتبار الأرقام - 88% من المؤسسات تستخدم أكثر من 2,500 تطبيق سحابي وتدير الآلاف من واجهات برمجة التطبيقات. ولا يقتصر هذا على واجهات برمجة التطبيقات التي تم تطويرها داخليًا. تقوم المؤسسات بشكل روتيني بدمج واجهات برمجة التطبيقات التابعة لجهات خارجية لتوسيع الوظائف، ويمثل كل تكامل ناقل هجوم محتمل جديد يتطلب تدقيقًا دقيقًا.
-
التنوع في أنواع API: إنه نسيج رقمي معقد، مع سلسلة كاملة من أنواع واجهات برمجة التطبيقات المفتوحة للشركاء، والجهات الخارجية، وأنواع أخرى. يمكن أن تتنوع ملفات تعريف المخاطر الخاصة بواجهات برمجة التطبيقات هذه. يمكن أن تكون واجهات برمجة التطبيقات العامة، التي يمكن لجمهور عريض الوصول إليها، عرضة لمجموعة واسعة من نواقل الهجوم، في حين أن واجهات برمجة التطبيقات الداخلية، التي غالبًا ما يُنظر إليها على أنها آمنة، قد تكون عرضة للتهديدات الداخلية. ومن خلال تسليط الضوء على هذا التعقيد، يتفق 58% من المشاركين في الدراسة على أن واجهات برمجة التطبيقات تعمل بلا شك على تضخيم سطح الهجوم عبر المجموعة التقنية بأكملها.
-
تصورات متنوعة حول مخاطر API: يختلف تصور الصناعة للمخاطر المرتبطة بواجهة برمجة التطبيقات (API) بشكل كبير. عند السؤال عن أهمية وجود ملف تعريف للمخاطر الأمنية لكل واجهة برمجة تطبيقات، تنتشر الإجابات عبر الطيف. وفي حين أن 52% من المشاركين يدركون ضرورة إعطاء الأولوية لهذا الأمر، فإن ما يعادل 47% تقريباً يرون أنه ذو أهمية منخفضة إلى متوسطة. والأكثر إثارة للقلق هو الثمانية في المائة الذين يرون أنها لا تذكر. يؤكد هذا الموقف المتناثر الفهم غير المتسق للصناعة والاعتراف بمخاطر واجهة برمجة التطبيقات (API)، مما يشير إلى ثغرة محتملة في الدرع الرقمي للعديد من المؤسسات.
-
خطر غير معروف ومساحة الهجوم المتوسعة: ترتبط فكرة المخاطر غير المعروفة ارتباطًا وثيقًا بمشهد واجهة برمجة التطبيقات (API) المتوسع. مع قيام 40% من المؤسسات باختبار واجهات برمجة التطبيقات (APIs) الخاصة بها بشكل متقطع بحثًا عن نقاط الضعف، تظل العديد من التهديدات المحتملة تحت المراقبة. وتؤكد البيانات خطورة هذه الهجمات: 21% فقط من الهجمات المرتبطة بواجهة برمجة التطبيقات (API) قابلة للاكتشاف والاحتواء، مما يشير إلى أن غالبية المهاجمين يستفيدون من مخاطر غير معروفة. في حين أن 27% يعطون الأولوية القصوى لملف تعريف أمان واجهة برمجة التطبيقات (API)، فمن المحتمل أن يظل عدد كبير منهم غير مدركين للتهديدات الخفية الكامنة في أطرهم الرقمية.
تفسير المجهول
لا يقتصر جوهر مشكلة المخاطر غير المعروفة على التهديدات الملموسة التي قد تواجهها واجهات برمجة التطبيقات فحسب، بل يتعلق أيضًا بالحواجز غير الملموسة داخل المؤسسات والتي تمنعها من التعرف على هذه التهديدات ومعالجتها بفعالية. إنه تحدٍ ذو شقين: الأول، توعية المؤسسات بالمخاطر المحتملة، والثاني، تزويدها بالأدوات والمعرفة والموارد اللازمة للتخفيف من هذه المخاطر.
مع استمرار نمو دور واجهات برمجة التطبيقات في البنى التحتية التنظيمية، تصبح المخاطر غير المعروفة المرتبطة بها تهديدًا غير مرئي. هذه العلاقة بين الحجم والتنوع وندرة تقييم المخاطر هي المكان الذي قد تجد فيه العديد من المنظمات أكبر نقاط الضعف لديها. لا يتعلق الأمر فقط بإدارة المزيد من واجهات برمجة التطبيقات؛ يتعلق الأمر بفهم أين توجد النقاط العمياء ومعالجتها بشكل استباقي.
عن المؤلف
يشغل ريتشارد بيرد منصب كبير مسؤولي الأمن في شركة Traceable. يتمتع ريتشارد بخبرة واسعة كمدير تنفيذي على المستوى التنفيذي في كل من مجالات الشركات والشركات الناشئة، ويشتهر عالميًا بخبرته في مجال الأمن السيبراني وخصوصية البيانات والهوية وانعدام الثقة. وهو متحدث رئيسي غزير الإنتاج، وهو يبرع في مواءمة حقائق الأمن السيبراني مع ضرورات العمل. بصفته زميلًا بارزًا في معهد CyberTheory Zero Trust Institute وعضوًا في مجلس Forbes Tech Council، غالبًا ما يتم عرض أفكار ريتشارد في وسائل الإعلام الكبرى، بما في ذلك Wall Street Journal وCNBC وCNN.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/silent-threat-of-apis-what-new-data-reveals-about-unknown-risk
- :لديها
- :يكون
- :ليس
- :أين
- 1
- 100
- 11
- 15%
- 26%
- 500
- a
- من نحن
- يمكن الوصول
- وفقا
- في
- معالجة
- المحاذاة
- الكل
- تقريبا
- أيضا
- أسهب
- an
- و
- API
- واجهات برمجة التطبيقات
- التطبيقات
- نقدر
- هي
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- جمهور
- علم
- الحواجز
- BE
- أصبح
- ما بين
- أكبر
- على حد سواء
- مخالفات
- واسع
- الأعمال
- لكن
- دعوة
- CAN
- قدرات
- الاستفادة
- تحدى
- رئيس
- استشهد
- سحابة
- CNBC
- سي ان ان
- يأتي
- مجمع
- تعقيد
- الثقة
- الإتصال
- نظر
- باستمرار
- تواصل
- جوهر
- منظمة
- استطاع
- مجلس
- دولة
- حرج
- الأمن السيبراني
- غامق
- البيانات
- خرق البيانات
- خصوصية البيانات
- أعمق
- يطالب
- التبعية
- نشر
- على الرغم من
- المتقدمة
- رقمي
- غطس
- تنوع
- اثنان
- كل
- على نحو فعال
- إما
- كامل
- معادل
- جوهر
- تقييم
- حتى
- كل
- المتطورة
- تنفيذي
- وسع
- توسيع
- توسع
- الخبره في مجال الغطس
- خبرة
- واسع
- الوجه
- العوامل
- عقار مميز
- زميل
- النتائج
- في حالة
- الشرق الأوسط
- جزء
- الأطر
- تبدأ من
- تماما
- وظائف
- جمعت
- معطى
- العالمية
- على الصعيد العالمي
- خطورة
- جدا
- النمو
- يملك
- وجود
- he
- مخفي
- مرتفع
- تسليط الضوء
- له
- HTTPS
- هوية
- أهمية
- in
- بما فيه
- الصناعات
- العالمية
- لا محالة
- البنية التحتية
- مطلع
- رؤى
- معهد
- غير الملموسة
- دمج
- التكامل
- داخلي
- داخليا
- إلى
- في جوهرها
- بثبات
- يسن
- قضية
- IT
- مجلة
- م
- القفل
- رئيسية
- المتحدث الرئيسي
- المعرفة
- المشهد
- إلى حد كبير
- طبقات
- يؤدي
- الأقل
- مستوى
- منخفض
- رائد
- أغلبية
- القيام ب
- إدارة
- إدارة
- كثير
- ماكس العرض
- الإجراءات
- الوسائط
- عضو
- أسعار الصرف السوقية
- شديد التدقيق
- ربما
- تخفيف
- الأكثر من ذلك
- أكثر
- الطبيعة
- ضرورة
- جديد
- رابطة
- لا
- Notion
- عدد
- أرقام
- of
- امين شرطة منزل فؤاد
- غالبا
- on
- ONE
- فقط
- or
- التنظيمية
- المنظمات
- أخرى
- خارج
- على مدى
- مراقبة
- المشاركون
- الماضي
- محسوس - ملموس
- فى المائة
- الإدراك
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- محتمل
- يحتمل
- الهدايا
- منع
- منع
- ترتيب الاولويات
- الأولوية
- خصوصية
- المشكلة
- ملفي الشخصي
- ملامح
- جانبي
- عميق
- ويوفر
- جمهور
- وردا على سؤال
- رادار
- نطاق
- بسرعة
- الأسباب
- الاعتراف
- يميز
- لا تزال
- مشهور
- تقرير
- يمثل
- الموارد
- المستطلعين
- ردود
- مقيد
- يكشف
- ريتشارد
- ارتفاع
- ارتفاع
- المخاطرة
- المخاطر
- النوع
- بصورة روتينية
- s
- مبعثر
- فحص دقيق
- تأمين
- أمن
- كبير
- يخدم
- عدة
- ينبغي
- هام
- بشكل ملحوظ
- معا
- SIX
- مكبرات الصوت
- طيف
- المدعومة
- البقع
- انتشار
- كومة
- موقف
- المدرجات
- بدء
- الولايه او المحافظه
- شارع
- بقوة
- دراسة
- هذه
- المساحة
- ملموس
- التكنولوجيا
- تجربه بالعربي
- الاختبار
- من
- أن
- •
- من مشاركة
- منهم
- هناك.
- تشبه
- طرف ثالث
- الآلاف
- التهديد
- التهديدات
- ثلاثة
- مربوط
- إلى
- أدوات
- تيشرت
- أعلى
- تعقبها
- اكثر شيوعا
- مقلقة
- صحيح
- الثقة
- اثنان
- ضعفين
- أنواع
- مع
- يؤكد
- فهم
- غير معروف
- تستخدم
- كبير
- جدا
- المزيد
- حجم
- نقاط الضعف
- الضعيفة
- جدار
- وول ستريت
- Wall Street Journal
- ثروة
- الويب
- ابحث عن
- متى
- التي
- في حين
- من الذى
- واسع
- مدى واسع
- مع
- في غضون
- سنوات
- حتى الآن
- زفيرنت
- صفر
- الثقة صفر