تشفير آمن
نظرًا لأن واجهات برمجة التطبيقات هي هدف مفضل للجهات الفاعلة في مجال التهديد ، فإن التحدي المتمثل في تأمين الغراء الذي يجمع عناصر البرامج المختلفة معًا يكتسب إلحاحًا متزايدًا
يونيو 01 2023 • , 4 دقيقة. اقرأ
واجهة برمجة التطبيقات (API) هي بطل غير معروف للثورة الرقمية. إنه يوفر الغراء الذي يلتصق ببعض مكونات البرامج المتنوعة من أجل إنشاء تجارب مستخدم جديدة. ولكن في توفير مسار مباشر لقواعد البيانات الخلفية ، فإن واجهات برمجة التطبيقات هي أيضًا ملف هدف جذاب للجهات الفاعلة في التهديد. لا يساعد أنها انفجرت في العدد خلال السنوات الأخيرة ، مما أدى إلى أن تصبح العديد من عمليات النشر غير موثقة وغير آمنة.
وفقًا إحدى الدراسات الحديثة، 94٪ من المنظمات العالمية واجهت مشاكل أمنية في واجهة برمجة التطبيقات خلال العام الماضي مع ما يقرب من الخمس (17٪) يعانون من خرق متعلق بواجهة برمجة التطبيقات. حان الوقت لاكتساب الرؤية والتحكم في هذه اللبنات الرقمية.
ما مدى سوء تهديدات واجهة برمجة التطبيقات؟
واجهات برمجة التطبيقات هي مفتاح مؤسسة قابلة للإنشاء: مفهوم من Gartner يتم فيه تشجيع المؤسسات على تقسيم تطبيقاتها إلى قدرات الأعمال المعبأة (PBCs). الفكرة هي أن تجميع هذه المكونات الأصغر بطرق مختلفة يمكّن المؤسسات من التحرك بشكل أكثر رشاقة وبسرعة أكبر - مما يخلق وظائف وخبرات جديدة استجابة لاحتياجات العمل سريعة التطور. تعد واجهات برمجة التطبيقات (API) مكونًا مهمًا في PBCs التي ازداد استخدامها مؤخرًا مع زيادة اعتماد بنيات الخدمات المصغرة.
ما يقرب من جميع (97٪) رواد تكنولوجيا المعلومات العالميين لذلك نتفق الآن أن التنفيذ الناجح لإستراتيجية واجهة برمجة التطبيقات أمر حيوي لتحقيق الإيرادات والنمو في المستقبل. لكن الحجم الهائل لواجهات برمجة التطبيقات وتوزيعها عبر العديد من البنى والفرق يشكل مصدر قلق. قد يكون هناك عشرات أو حتى مئات الآلاف من واجهات برمجة التطبيقات التي تواجه العملاء والشركاء في مؤسسة كبيرة. حتى المنظمات متوسطة الحجم قد تعمل بالآلاف.
ما هو التأثير على الشركات؟
التهديدات هي أيضا بعيدة كل البعد عن النظرية. هذا العام وحده رأينا:
- اعترف T-Mobile USA أن 37 مليون عميل تمكنوا من الوصول إلى معلوماتهم الشخصية ومعلومات الحساب من قبل فاعل ضار عبر واجهة برمجة التطبيقات
- تفويض مفتوح مكون بشكل خاطئ (OAuth) تطبيقات على Booking.com والتي كان من الممكن أن تكون قد مكّنت هجمات جادة على حساب المستخدم على الموقع
لا يقتصر الخطر على سمعة الشركة والنتيجة النهائية من تهديدات واجهة برمجة التطبيقات. يمكنهم أيضًا تعليق مشاريع تجارية مهمة. أكثر من نصف (59٪) المنظمات تدعي أنهم اضطروا إلى إبطاء طرح التطبيقات الجديدة بسبب مخاوف تتعلق بأمان واجهة برمجة التطبيقات. هذا جزء من سبب كونه الآن موضوع مناقشة على مستوى C لنصف المجالس.
أهم ثلاثة مخاطر لواجهة برمجة التطبيقات
هناك العشرات من الطرق التي يمكن للقراصنة من خلالها استغلال واجهة برمجة التطبيقات ، ولكن OWASP هو مصدر الانتقال لمن يرغبون في فهم أكبر التهديدات التي تواجه مؤسستهم. إنه قائمة OWASP API Security Top 10 2023 تفاصيل المخاطر الأمنية الرئيسية الثلاثة التالية:
- ترخيص مستوى الكائن المكسور (BOLA): فشل واجهة برمجة التطبيقات في التحقق مما إذا كان يجب على الطالب الوصول إلى كائن. يمكن أن يؤدي ذلك إلى سرقة البيانات أو تعديلها أو حذفها. يحتاج المهاجمون فقط إلى إدراك وجود المشكلة - فلا حاجة إلى اختراق أكواد أو كلمات مرور مسروقة لاستغلال BOLA.
- مصادقة مكسورة: حماية المصادقة مفقودة و / أو تم تنفيذها بشكل خاطئ. يمكن أن تكون مصادقة واجهة برمجة التطبيقات "معقدة ومربكة" للعديد من المطورين ، الذين قد يكون لديهم مفاهيم خاطئة حول كيفية تنفيذها ، يحذر OWASP. آلية المصادقة نفسها مكشوفة أيضًا لأي شخص ، مما يجعلها هدفًا جذابًا. يجب التعامل مع نقاط نهاية API المسؤولة عن المصادقة بشكل مختلف عن الآخرين ، مع تعزيز الحماية. ويجب أن تكون أي آلية مصادقة مستخدمة مناسبة لناقل الهجوم ذي الصلة.
- ترخيص مستوى خاصية الكائن المكسور (BOPLA): يستطيع المهاجمون قراءة أو تغيير قيم خصائص الكائن التي ليس من المفترض أن يصلوا إليها. تكون نقاط نهاية واجهة برمجة التطبيقات عرضة للخطر إذا كشفت عن خصائص كائن يعتبر حساسًا ("التعرض المفرط للبيانات") ؛ أو إذا كانت تسمح للمستخدم بتغيير أو إضافة / أو حذف قيمة خاصية كائن حساس ("التخصيص الجماعي"). قد يؤدي الوصول غير المصرح به إلى الكشف عن البيانات لأطراف غير مصرح لها أو فقدان البيانات أو التلاعب بالبيانات.
من المهم أيضًا أن تتذكر أن هذه الثغرات الأمنية ليست متعارضة. نتجت بعض أسوأ انتهاكات البيانات القائمة على واجهة برمجة التطبيقات عن مجموعة من عمليات الاستغلال مثل BOLA والتعرض المفرط للبيانات.
كيفية التخفيف من تهديدات واجهة برمجة التطبيقات
بالنظر إلى ما هو على المحك ، من الضروري أن تقوم بتضمين الأمان في أي إستراتيجية API منذ البداية. وهذا يعني فهم مكان وجود جميع واجهات برمجة التطبيقات الخاصة بك ، ووضع أدوات وتقنيات لإدارة مصادقة نقطة النهاية ، واتصالات الشبكة الآمنة ، وتخفيف الأخطاء الشائعة ومعالجة تهديد الروبوتات السيئة.
إليك بعض الأماكن للبدء:
- تحسين حوكمة API باتباع نموذج تطوير التطبيقات المرتكز على API والذي يسمح لك بالحصول على الرؤية والتحكم. عند القيام بذلك ، ستحول الأمان إلى اليسار لتطبيق عناصر التحكم في وقت مبكر من دورة حياة تطوير البرامج وأتمتتها في خط أنابيب CI / CD
- استخدم أدوات اكتشاف API للتخلص من عدد واجهات برمجة تطبيقات الظل الموجودة بالفعل في المؤسسة وفهم مكان وجود واجهات برمجة التطبيقات وما إذا كانت تحتوي على ثغرات أمنية
- انشر بوابة API التي تقبل طلبات العميل وتوجهها إلى خدمات الخلفية اليمنى. ستساعدك أداة الإدارة هذه في مصادقة حركة مرور API والتحكم فيها ومراقبتها وتأمينها
- إضافة جدار حماية لتطبيق الويب (WAF) لتعزيز أمان البوابة الخاصة بك ، وحظر حركة المرور الضارة بما في ذلك DDoS ومحاولات الاستغلال
- تشفير جميع البيانات (على سبيل المثال ، عبر TLS) السفر عبر واجهات برمجة التطبيقات ، لذلك لا يمكن اعتراضها في هجمات الرجل في الوسط
- استخدم OAuth للتحكم في وصول واجهة برمجة التطبيقات إلى موارد مثل مواقع الويب دون الكشف عن بيانات اعتماد المستخدم
- تطبيق تحديد المعدل لتقييد عدد مرات استدعاء API الخاص بك. سيؤدي ذلك إلى تخفيف التهديد من هجمات DDoS وغيرها من الارتفاعات غير المرغوب فيها
- استخدم أداة المراقبة لتسجيل جميع الأحداث الأمنية والإبلاغ عن أي نشاط مشبوه
- ضع في اعتبارك نهج انعدام الثقة مما يفترض أنه لا يمكن الوثوق بأي مستخدمين أو أصول أو موارد داخل المحيط. بدلاً من ذلك ، ستحتاج إلى طلب إثبات المصادقة والتفويض لكل عملية
التحول الرقمي هو الوقود الذي يدفع النمو المستدام للمؤسسات الحديثة. هذا يضع واجهات برمجة التطبيقات في مقدمة ومركز أي مشروع تطوير جديد. يجب توثيقها بدقة ، وتطويرها وفقًا لمبادئ الأمان حسب التصميم ، وحمايتها في الإنتاج من خلال نهج متعدد الطبقات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 10
- 2023
- 80
- a
- ماهرون
- من نحن
- يقبل
- الوصول
- الوصول
- حسابي
- في
- الجهات الفاعلة
- تبني
- الكل
- السماح
- يسمح
- وحده
- سابقا
- أيضا
- an
- و
- أي وقت
- أي شخص
- API
- الوصول إلى واجهة برمجة التطبيقات
- واجهات برمجة التطبيقات
- التطبيق
- تطوير التطبيق
- تطبيق
- التطبيقات
- التقديم
- نهج
- مناسب
- التطبيقات
- هي
- AS
- ممتلكات
- At
- مهاجمة
- الهجمات
- جذاب
- مصادقة
- التحقّق من المُستخدم
- ترخيص
- أتمتة
- علم
- الخلفية
- الخلفية
- سيئة
- BE
- لان
- كان
- أكبر
- حجب
- Blocks
- حجز
- بوكينح.كوم
- البوتات
- الملابس السفلية
- خرق
- مخالفات
- استراحة
- البق
- نساعدك في بناء
- ابني
- الأعمال
- لكن
- by
- تسمى
- CAN
- الفئة
- تسبب
- مركز
- تحدى
- تغيير
- مطالبة
- زبون
- الكود
- COM
- مجموعة
- مشترك
- Communication
- عنصر
- مكونات
- مفهوم
- قلق
- اهتمامات
- نظرت
- تحتوي على
- مراقبة
- السيطرة
- ضوابط
- منظمة
- استطاع
- خلق
- خلق
- حرج
- العملاء
- البيانات
- خرق البيانات
- فقدان البيانات
- قواعد البيانات
- دوس
- الطلب
- نشر
- تفاصيل
- المتقدمة
- المطورين
- التطوير التجاري
- رقمي
- الثورة الرقمية
- مباشرة
- إفشاء
- اكتشاف
- مناقشة
- توزيع
- عدة
- لا
- فعل
- إلى أسفل
- عشرات
- e
- في وقت مبكر
- عناصر
- القضاء
- تمكين
- تمكن
- شجع
- نقطة النهاية
- تعزيز
- تعزيز
- مشروع
- الشركات
- حتى
- أحداث
- كل
- المتطورة
- حصري
- تنفيذ
- موجود
- تمكنت
- خبرة
- استغلال
- استغلال
- مآثر
- مكشوف
- تعرض
- العيون
- فشل
- بعيدا
- المفضلة—الحقيبة
- قليل
- جدار الحماية
- الشركات
- متابعيك
- في حالة
- تبدأ من
- جبهة
- وقود
- وظيفة
- مستقبل
- ربح
- غارتنر
- بوابة
- العالمية
- Go
- الحكم
- أكبر
- التسويق
- قراصنة
- الخارقة
- كان
- نصفي
- يملك
- مساعدة
- بطل
- عقد
- يحمل
- كيفية
- كيفية
- HTML
- HTTPS
- مئات
- i
- فكرة
- if
- التأثير
- تنفيذ
- أهمية
- in
- بما فيه
- زيادة
- في ازدياد
- على نحو متزايد
- معلومات
- في الداخل
- بدلًا من ذلك
- السطح البيني
- إلى
- IT
- نفسها
- JPG
- م
- القفل
- كبير
- متأخر
- طبقات
- قيادة
- قادة
- قيادة
- اليسار
- مستوى
- دورة حياة
- مثل
- الحد من
- خط
- سجل
- خسارة
- الرئيسية
- القيام ب
- إدارة
- إدارة
- تلاعب
- كثير
- ماكس العرض
- مايو..
- يعني
- آلية
- microservices
- مليون
- دقيقة
- المفاهيم الخاطئة
- مفقود
- تخفيف
- نموذج
- تقدم
- مراقبة
- مراقبة
- الأكثر من ذلك
- خطوة
- متعدد الطبقات،
- متعدد
- يجب
- متبادل
- تقريبا
- حاجة
- بحاجة
- إحتياجات
- شبكة
- جديد
- لا
- الآن
- عدد
- أوث
- موضوع
- of
- غالبا
- on
- فقط
- جاكيت
- or
- طلب
- منظمة
- المنظمات
- أخرى
- أخرى
- على مدى
- جزء
- الأحزاب
- كلمات السر
- الماضي
- مسار
- الشخصية
- PHIL
- وجهات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- توفير الطاقة
- مبادئ
- المشكلة
- مشاكل
- الإنتــاج
- برمجة وتطوير
- تنفيذ المشاريع
- مشروع ناجح
- دليل
- HAS
- الملكية
- محمي
- الحماية
- ويوفر
- توفير
- يضع
- بسرعة
- معدل
- عرض
- سبب
- الأخيرة
- ذات الصلة
- تذكر
- سمعة
- طلبات
- مورد
- الموارد
- استجابة
- مسؤول
- بتقييد
- نتيجة
- إيرادات
- ثورة
- حق
- المخاطرة
- المخاطر
- طرح
- طرق
- تشغيل
- s
- تأمين
- تأمين
- أمن
- الأحداث الأمنية
- المخاطر الأمنية
- رأيت
- حساس
- جدي
- خدماتنا
- شادو
- نقل
- ينبغي
- بطيء
- الأصغر
- So
- تطبيقات الكمبيوتر
- مكونات البرامج
- تطوير البرمجيات
- بعض
- مصدر
- سرعة
- المحك
- بداية
- مسروق
- الإستراتيجيات
- بنجاح
- هذه
- معاناة
- مفترض
- ارتفعت
- مشكوك فيه
- استدامة
- النمو المستدام
- معالجة
- استيلاء
- مع الأخذ
- الهدف
- فريق
- تقنيات
- عشرات
- من
- أن
- •
- سرقة
- من مشاركة
- منهم
- نظري
- هناك.
- تشبه
- هم
- هذا العام
- هؤلاء
- الآلاف
- التهديد
- الجهات التهديد
- التهديدات
- ثلاثة
- عبر
- الوقت
- إلى
- سويا
- أداة
- أدوات
- تيشرت
- أعلى 10
- موضوع
- حركة المرور
- تحول
- الثقة
- افضل
- فهم
- فهم
- غير مضمون
- غير مرغوب فيه
- الولايات المتحدة الأميركية
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- قيمنا
- القيم
- مختلف
- تحقق من
- بواسطة
- رؤية
- حيوي
- حجم
- نقاط الضعف
- الضعيفة
- يريد
- يحذر
- طرق
- الويب
- تطبيق ويب
- المواقع
- سواء
- التي
- من الذى
- لمن
- لماذا
- سوف
- مع
- بدون
- أسوأ
- عام
- سنوات
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
- صفر
- الثقة صفر