মোবাইল অ্যাপস, ক্লাউড পরিষেবা এবং ওয়েব অ্যাপ্লিকেশনগুলির বৃদ্ধি একটি উদ্বেগজনক প্রবণতার দিকে পরিচালিত করেছে: আক্রমণকারীরা ক্রমবর্ধমান APIগুলিকে লক্ষ্যবস্তু করছে যা তাদের আন্ডারপিন করে৷ এই ডেটা-সমৃদ্ধ সংযোগকারীগুলিকে সুরক্ষিত করার জন্য এন্টারপ্রাইজগুলির সরঞ্জামগুলির প্রয়োজন, এবং CrowdStrike-এর ঘোষণা যে এটি সল্ট সিকিউরিটিতে বিনিয়োগ করছে তা ওয়েব অ্যাপ্লিকেশন সুরক্ষায় API সিকিউরিটি যে গুরুত্বপূর্ণ ভূমিকা পালন করে তা হাইলাইট করে৷
APIs - অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস - আধুনিক এন্টারপ্রাইজে সর্বব্যাপী। নিম্নোক্ত বিবেচনা কর:
- একটি মানচিত্র এবং অবস্থানের ডেটা প্রদর্শন করে এমন একটি ওয়েব অ্যাপ্লিকেশন Google Maps API-এর উপর নির্ভর করে।
- একটি ই-কমার্স অ্যাপ্লিকেশন যা একাধিক অর্থপ্রদানের বিকল্প প্রদান করে, যেমন "পেপ্যালের সাথে অর্থ প্রদান" বৈশিষ্ট্য, একটি API ব্যবহার করছে।
- খুচরা বিক্রেতারা কুরিয়ার এবং ডেলিভারি কোম্পানির সাথে কাজ করার জন্য API ব্যবহার করে যাতে প্যাকেজটি সঠিকভাবে তোলা এবং বিতরণ করা হয়।
- কোম্পানি API এর মাধ্যমে সফ্টওয়্যার পাঠাতে পারে. টেসলা সেটাই করে।
"এপিআইগুলি সমালোচনামূলক ডেটা এবং পরিষেবাগুলিকে সংযুক্ত করে যা আজকের ডিজিটাল উদ্ভাবনকে চালিত করে," সল্ট সিকিউরিটির সিইও এবং সহ-প্রতিষ্ঠাতা রয় এলিয়াহু একটি বিবৃতিতে বলেছেন৷
স্ক্র্যাচ থেকে শুরু না করেই নতুন বৈশিষ্ট্য এবং পণ্য তৈরি করার জন্য বিকাশকারীরা তাদের অ্যাপ্লিকেশনগুলিকে একাধিক ডেটা উত্স এবং পরিষেবার সাথে সংযুক্ত করতে API-এর উপর নির্ভর করে। উদাহরণস্বরূপ, বিশদ মানচিত্রগুলি বজায় রাখার জন্য অনেক সংস্থার কাছে সংস্থান বা ডেটা নেই, তবে তাদের প্রয়োজন নেই কারণ Google মানচিত্র একটি API এর মাধ্যমে তথ্য সরবরাহ করে। যাইহোক, এপিআই-এর অ্যাক্সেস আছে সংবেদনশীল তথ্য এবং সিস্টেম তাদের দুর্বল করে তোলে। যদি এপিআই কোনোভাবে অপব্যবহার করা হয়, তাহলে এটি অন্তর্নিহিত ডেটা প্রকাশ করতে পারে এবং এর ফলে ডেটা লঙ্ঘন হতে পারে।
A পেলোটন এপিআইতে বাগ যে কাউকে পেলোটনের সার্ভার থেকে ব্যবহারকারীদের ব্যক্তিগত অ্যাকাউন্টের ডেটা সরাসরি টেনে নেওয়ার অনুমতি দেয়, এমনকি যদি কোনো ব্যবহারকারীর প্রোফাইল ব্যক্তিগত হিসেবে সেট করা থাকে। একটি আর্থিক ঋণ সাইট জড়িত একটি অনুরূপ পরিস্থিতি ছিল, যেখানে একটি ফাঁস এক্সপেরিয়ান API কাউকে শুধুমাত্র একটি নাম এবং মেইলিং ঠিকানা সহ অন্য কারো ক্রেডিট স্কোর দেখার অনুমতি দেয়।
"এন্টারপ্রাইজগুলি এমন হারে বিপুল সংখ্যক API তৈরি করছে যা নেটওয়ার্ক এবং অ্যাপ্লিকেশন সুরক্ষা অনুশীলনের পরিপক্কতাকে ছাড়িয়ে যায়," লিখেছেন গার্টনার বিশ্লেষক জেরেমি ডি'হোইন এবং মার্ক ও'নিল এপিআই নিরাপত্তা সংক্রান্ত সাম্প্রতিক "গার্টনার ভবিষ্যদ্বাণী" প্রতিবেদন. "প্রতিষ্ঠান যে সমস্ত API তৈরি করে তাতে যথেষ্ট দৃশ্যমানতা অর্জনের জন্য শক্তিশালী ইনভেন্টরি এবং রিয়েল-টাইম আবিষ্কার উভয়ই প্রয়োজনীয়।"
আর্থিক দৃষ্টিকোণ থেকে, CrowdStrike-এর বিনিয়োগ বোধগম্য। এপিআই নিরাপত্তা বাজার 26.3 এবং 2022 এর মধ্যে 2032% বৃদ্ধি পাবে বলে আশা করা হচ্ছে, অনুযায়ী ফিউচার মার্কেট ইনসাইটস থেকে গবেষণা এই মাসের শুরুতে. গার্টনার অনুমান করেছেন যে API আক্রমণগুলি শীঘ্রই ওয়েব অ্যাপ্লিকেশনগুলির জন্য সবচেয়ে ঘন ঘন আক্রমণকারী ভেক্টর হয়ে উঠবে৷
বিনিয়োগের পাশাপাশি, ক্রাউডস্ট্রাইক বলেছে যে এটি এপিআই এবং এপিআই আবিষ্কার এবং অ্যাপ্লিকেশনগুলির জন্য রানটাইম সুরক্ষাকে কঠোর করার জন্য সুরক্ষা পরীক্ষার জন্য সল্ট সিকিউরিটির সাথে কাজ করার পরিকল্পনা করেছে।
