التهديد الصامت لواجهات برمجة التطبيقات: ما تكشفه البيانات الجديدة حول مخاطر غير معروفة

التهديد الصامت لواجهات برمجة التطبيقات: ما تكشفه البيانات الجديدة حول مخاطر غير معروفة

الطابع الزمني: 2 أكتوبر 2023 3:00 صباحًا

لقد منح المشهد الرقمي سريع التطور المؤسسات ثروة من القدرات، ويرجع ذلك إلى حد كبير إلى انتشار التطبيقات السحابية. ومع ذلك، تأتي مع هذه النعمة نقمة محتملة: مخاطر غير معروفة، والتي قد لا تقدرها المنظمات بشكل كامل أو حتى تعترف بها. نظرة أعمق على البيانات من "Treable's"حالة أمان واجهة برمجة التطبيقات لعام 2023: النتائج العالميةيقدم التقرير رؤى عميقة حول طبيعة هذه المخاطر غير المعروفة.

جمعت هذه الدراسة رؤى من 1,629 مشاركًا في أكثر من 100 دولة وستة صناعات رئيسية. والبيانات مثيرة للقلق: فقد واجهت 74% من المؤسسات ما لا يقل عن ثلاثة انتهاكات للبيانات ذات صلة بواجهة برمجة التطبيقات (API) في العامين الماضيين. وهذا بمثابة دعوة للاستيقاظ تسلط الضوء على الاتجاه المقلق المتمثل في ارتفاع الانتهاكات. وفي الوقت نفسه، تنشر 88% من المؤسسات أكثر من 2,500 تطبيق سحابي، مما يشير إلى مستوى عالٍ من التبعية والاتصال الرقمي. ومن المؤكد أن مثل هذه الشبكة الواسعة من نقاط الاتصال الرقمية تعمل على توسيع سطح الهجوم.

وينطوي هذا المشهد الرقمي الواسع على إمكانات هائلة، ولكن لا ينبغي لأحد أن يقلل من شأن سطح الهجوم الواسع النطاق الذي يمثله.

فك رموز المخاطر المجهولة

المشكلة الرئيسية التي تبرز في نتائج الدراسة هي مسألة المخاطر غير المعروفة. على الرغم من ارتفاع معدلات اختراق واجهات برمجة التطبيقات، فإن 40% من المؤسسات تقوم باستمرار باختبار جزء صغير فقط من واجهات برمجة التطبيقات الخاصة بها بحثًا عن نقاط الضعف. ويؤدي هذا الإشراف المحتمل إلى مستوى ثقة يبلغ 26% فقط في منع الهجمات، في حين أن 21% فقط من هجمات واجهة برمجة التطبيقات (API) قابلة للاكتشاف والاحتواء.

ويتمثل التحدي الأساسي في أن العديد من المؤسسات تظل في حالة جهل بشأن مدى مخاطر واجهة برمجة التطبيقات. ومن المثير للدهشة أن 27% فقط من المؤسسات تعطي أولوية عالية للغاية للحصول على ملف تعريف المخاطر الأمنية لكل واجهة برمجة تطبيقات، مما يؤكد وجود رقابة محتملة في تقييم المخاطر. عند سؤالهم عن العوامل التي تعيق إعطاء الأولوية لأمن واجهة برمجة التطبيقات، أشار 49% منهم إلى أن الإدارة تقلل من تقدير المخاطر، بينما واجه 37% صعوبة في فهم إجراءات الحد من التهديدات.

واجهات برمجة التطبيقات: توسيع سطح الهجوم

يؤدي انتشار واجهات برمجة التطبيقات إلى توسيع نطاق نقاط الضعف المحتملة ونواقل الهجوم بشكل كبير. وفقًا للدراسة، فإن 58% من المشاركين إما يوافقون بشدة أو يوافقون على أن واجهات برمجة التطبيقات تعمل دائمًا على توسيع سطح الهجوم عبر جميع طبقات التكنولوجيا. وهذا أمر بالغ الأهمية لعدة أسباب:

  1. الحجم الهائل لواجهات برمجة التطبيقات: خذ في الاعتبار الأرقام - 88% من المؤسسات تستخدم أكثر من 2,500 تطبيق سحابي وتدير الآلاف من واجهات برمجة التطبيقات. ولا يقتصر هذا على واجهات برمجة التطبيقات التي تم تطويرها داخليًا. تقوم المؤسسات بشكل روتيني بدمج واجهات برمجة التطبيقات التابعة لجهات خارجية لتوسيع الوظائف، ويمثل كل تكامل ناقل هجوم محتمل جديد يتطلب تدقيقًا دقيقًا.

  2. التنوع في أنواع API: إنه نسيج رقمي معقد، مع سلسلة كاملة من أنواع واجهات برمجة التطبيقات المفتوحة للشركاء، والجهات الخارجية، وأنواع أخرى. يمكن أن تتنوع ملفات تعريف المخاطر الخاصة بواجهات برمجة التطبيقات هذه. يمكن أن تكون واجهات برمجة التطبيقات العامة، التي يمكن لجمهور عريض الوصول إليها، عرضة لمجموعة واسعة من نواقل الهجوم، في حين أن واجهات برمجة التطبيقات الداخلية، التي غالبًا ما يُنظر إليها على أنها آمنة، قد تكون عرضة للتهديدات الداخلية. ومن خلال تسليط الضوء على هذا التعقيد، يتفق 58% من المشاركين في الدراسة على أن واجهات برمجة التطبيقات تعمل بلا شك على تضخيم سطح الهجوم عبر المجموعة التقنية بأكملها.

  3. تصورات متنوعة حول مخاطر API: يختلف تصور الصناعة للمخاطر المرتبطة بواجهة برمجة التطبيقات (API) بشكل كبير. عند السؤال عن أهمية وجود ملف تعريف للمخاطر الأمنية لكل واجهة برمجة تطبيقات، تنتشر الإجابات عبر الطيف. وفي حين أن 52% من المشاركين يدركون ضرورة إعطاء الأولوية لهذا الأمر، فإن ما يعادل 47% تقريباً يرون أنه ذو أهمية منخفضة إلى متوسطة. والأكثر إثارة للقلق هو الثمانية في المائة الذين يرون أنها لا تذكر. يؤكد هذا الموقف المتناثر الفهم غير المتسق للصناعة والاعتراف بمخاطر واجهة برمجة التطبيقات (API)، مما يشير إلى ثغرة محتملة في الدرع الرقمي للعديد من المؤسسات.

  4. خطر غير معروف ومساحة الهجوم المتوسعة: ترتبط فكرة المخاطر غير المعروفة ارتباطًا وثيقًا بمشهد واجهة برمجة التطبيقات (API) المتوسع. مع قيام 40% من المؤسسات باختبار واجهات برمجة التطبيقات (APIs) الخاصة بها بشكل متقطع بحثًا عن نقاط الضعف، تظل العديد من التهديدات المحتملة تحت المراقبة. وتؤكد البيانات خطورة هذه الهجمات: 21% فقط من الهجمات المرتبطة بواجهة برمجة التطبيقات (API) قابلة للاكتشاف والاحتواء، مما يشير إلى أن غالبية المهاجمين يستفيدون من مخاطر غير معروفة. في حين أن 27% يعطون الأولوية القصوى لملف تعريف أمان واجهة برمجة التطبيقات (API)، فمن المحتمل أن يظل عدد كبير منهم غير مدركين للتهديدات الخفية الكامنة في أطرهم الرقمية.

تفسير المجهول

لا يقتصر جوهر مشكلة المخاطر غير المعروفة على التهديدات الملموسة التي قد تواجهها واجهات برمجة التطبيقات فحسب، بل يتعلق أيضًا بالحواجز غير الملموسة داخل المؤسسات والتي تمنعها من التعرف على هذه التهديدات ومعالجتها بفعالية. إنه تحدٍ ذو شقين: الأول، توعية المؤسسات بالمخاطر المحتملة، والثاني، تزويدها بالأدوات والمعرفة والموارد اللازمة للتخفيف من هذه المخاطر.

مع استمرار نمو دور واجهات برمجة التطبيقات في البنى التحتية التنظيمية، تصبح المخاطر غير المعروفة المرتبطة بها تهديدًا غير مرئي. هذه العلاقة بين الحجم والتنوع وندرة تقييم المخاطر هي المكان الذي قد تجد فيه العديد من المنظمات أكبر نقاط الضعف لديها. لا يتعلق الأمر فقط بإدارة المزيد من واجهات برمجة التطبيقات؛ يتعلق الأمر بفهم أين توجد النقاط العمياء ومعالجتها بشكل استباقي.

عن المؤلف

ريتشارد بيرد

يشغل ريتشارد بيرد منصب كبير مسؤولي الأمن في شركة Traceable. يتمتع ريتشارد بخبرة واسعة كمدير تنفيذي على المستوى التنفيذي في كل من مجالات الشركات والشركات الناشئة، ويشتهر عالميًا بخبرته في مجال الأمن السيبراني وخصوصية البيانات والهوية وانعدام الثقة. وهو متحدث رئيسي غزير الإنتاج، وهو يبرع في مواءمة حقائق الأمن السيبراني مع ضرورات العمل. بصفته زميلًا بارزًا في معهد CyberTheory Zero Trust Institute وعضوًا في مجلس Forbes Tech Council، غالبًا ما يتم عرض أفكار ريتشارد في وسائل الإعلام الكبرى، بما في ذلك Wall Street Journal وCNBC وCNN.

الطابع الزمني:

اكثر من قراءة مظلمة