چشم انداز دیجیتالی که به سرعت در حال تحول است، به سازمان ها توانایی های فراوانی داده است که عمدتاً به دلیل گسترش برنامه های ابری است. با این حال، با این موهبت، یک فاجعه بالقوه به وجود میآید: خطرات ناشناخته، که سازمانها ممکن است به طور کامل آنها را درک نکنند یا حتی آنها را تشخیص ندهند. بررسی عمیقتر دادههای Traceable's2023 وضعیت امنیت API: یافته های جهانیگزارش بینش عمیقی در مورد ماهیت این خطرات ناشناخته ارائه می دهد.
این مطالعه بینشهایی را از 1,629 پاسخدهنده در بیش از 100 کشور و شش صنعت بزرگ جمعآوری کرد. و داده ها هشداردهنده است: 74 درصد از سازمان ها در دو سال گذشته با حداقل سه نقض داده مرتبط با API مواجه شده اند. این به عنوان زنگ خطری عمل می کند که روند نگران کننده افزایش نقض را برجسته می کند. به طور همزمان، 88 درصد از سازمان ها بیش از 2,500 برنامه کاربردی ابری را مستقر می کنند که نشان دهنده سطح بالایی از وابستگی و اتصال دیجیتال است. چنین شبکه گسترده ای از نقاط لمس دیجیتال به ناچار سطح حمله را گسترش می دهد.
این چشم انداز دیجیتال گسترده با پتانسیل گسترده ای به شما اشاره می کند، اما هیچ کس نباید سطح حمله گسترده ای را که ارائه می دهد دست کم بگیرد.
رمزگشایی خطرات ناشناخته
مشکل کلیدی که در یافته های این مطالعه خودنمایی می کند، موضوع خطر ناشناخته است. علیرغم افزایش موارد نقض API، 40 درصد از سازمان ها به طور مستمر تنها کسری از API های خود را از نظر آسیب پذیری آزمایش می کنند. این نظارت بالقوه منجر به سطح اطمینان فقط 26٪ در جلوگیری از حملات می شود، در حالی که فقط 21٪ از حملات API قابل تشخیص و مهار هستند.
چالش اصلی این است که بسیاری از سازمان ها در مورد میزان خطر API در تاریکی باقی می مانند. با کمال تعجب، تنها 27 درصد از سازمان ها اولویت بسیار بالایی برای داشتن یک پروفایل ریسک امنیتی برای هر API قائل هستند که بر نظارت بالقوه در ارزیابی ریسک تاکید می کند. هنگامی که در مورد عوامل مانع از اولویت بندی امنیت API سؤال شد، 49٪ از مدیریت ریسک را دست کم گرفته بودند، در حالی که 37٪ با درک اقدامات کاهش تهدید مشکل داشتند.
API ها: گسترش سطح حمله
گسترش APIها به طور قابل توجهی دامنه آسیب پذیری های بالقوه و بردارهای حمله را گسترش می دهد. بر اساس این مطالعه، 58 درصد از پاسخ دهندگان به شدت موافق یا موافق هستند که API ها همواره سطح حمله را در تمام لایه های فناوری گسترش می دهند. این به چند دلیل حیاتی است:
-
حجم زیاد APIها: اعداد را در نظر بگیرید - 88٪ سازمان ها از بیش از 2,500 برنامه کاربردی ابری استفاده می کنند و هزاران API را مدیریت می کنند. این محدود به API های توسعه یافته داخلی نیست. سازمان ها به طور معمول API های شخص ثالث را برای گسترش عملکردها ادغام می کنند و هر یکپارچه سازی نشان دهنده یک بردار حمله بالقوه جدید است که نیازمند بررسی دقیق است.
-
تنوع در انواع API: این یک ملیله دیجیتال پیچیده در آنجا است، با طیف وسیعی از انواع APIهای باز به شریک، شخص ثالث و دیگر انواع API. پروفایل ریسک این APIها می تواند متفاوت باشد. API های عمومی، قابل دسترسی برای مخاطبان گسترده، می توانند مستعد طیف گسترده ای از بردارهای حمله باشند، در حالی که API های داخلی، که اغلب ایمن تلقی می شوند، ممکن است در برابر تهدیدات داخلی آسیب پذیر باشند. با برجسته کردن این پیچیدگی، 58 درصد از شرکت کنندگان در مطالعه موافقند که API ها بدون شک سطح حمله را در کل پشته فناوری تقویت می کنند.
-
ادراکات مختلف در مورد خطر API: درک صنعت از ریسک مرتبط با API بسیار متفاوت است. هنگامی که در مورد اهمیت داشتن یک نمایه ریسک امنیتی برای هر API سؤال می شود، پاسخ ها در سراسر طیف پخش می شوند. در حالی که 52 درصد از پاسخ دهندگان ضرورت اولویت بندی این موضوع را تشخیص می دهند، تقریباً معادل 47 درصد آن را از نظر اهمیت کم تا متوسط می دانند. بیشترین نگرانی هشت درصدی است که آن را ناچیز می دانند. این موضع پراکنده بر درک و تصدیق ناسازگار صنعت از خطر API تأکید میکند، که نشاندهنده شکاف احتمالی در زره دیجیتال بسیاری از سازمانها است.
-
خطر ناشناخته و سطح حمله در حال گسترش: مفهوم ریسک ناشناخته ذاتاً به چشم انداز API در حال گسترش گره خورده است. با توجه به اینکه 40 درصد از سازمان ها فقط به طور متناوب API های خود را از نظر آسیب پذیری آزمایش می کنند، بسیاری از تهدیدات بالقوه زیر رادار باقی می مانند. دادهها بر گرانش تأکید میکنند: تنها 21 درصد از حملات مرتبط با API قابل شناسایی و مهار هستند، که نشان میدهد اکثر مهاجمان از ریسک ناشناخته استفاده میکنند. در حالی که 27 درصد بیشترین اولویت را به پروفایل امنیتی API اختصاص می دهند، تعداد قابل توجهی به طور بالقوه از تهدیدات پنهان در کمین چارچوب های دیجیتال خود بی اطلاع می مانند.
تفسیر ناشناخته
ماهیت مشکل ریسک ناشناخته فقط در مورد تهدیدات ملموسی نیست که APIها ممکن است با آنها مواجه شوند، بلکه در مورد موانع نامشهود درون سازمانها است که آنها را از شناسایی و رسیدگی موثر به این تهدیدات باز میدارد. این یک چالش دوگانه است: یکی، آگاه کردن سازمان ها از خطرات بالقوه، و دوم، تجهیز آنها به ابزار، دانش و منابع برای کاهش این خطرات.
همانطور که نقش API ها در زیرساخت های سازمانی همچنان در حال رشد است، خطرات ناشناخته مرتبط به یک تهدید نامرئی تبدیل می شوند. این پیوند بین حجم، تنوع و عدم فراوانی ارزیابی ریسک جایی است که بسیاری از سازمانها ممکن است بزرگترین آسیبپذیریهای خود را پیدا کنند. این فقط در مورد مدیریت API های بیشتر نیست. این در مورد درک نقاط کور و پرداختن به آنها فعالانه است.
درباره نویسنده
ریچارد برد به عنوان افسر ارشد امنیتی در Traceable خدمت می کند. ریچارد با تجربه گسترده به عنوان یک مدیر سطح C در حوزه های شرکتی و استارت آپی، به دلیل تخصص خود در امنیت سایبری، حریم خصوصی داده ها، هویت و اعتماد صفر در سطح جهانی مشهور است. او که یک سخنران اصلی پرکار است، در همسویی واقعیت های امنیت سایبری با الزامات تجاری عالی است. به عنوان یک عضو ارشد در موسسه CyberTheory Zero Trust و یکی از اعضای شورای فناوری فوربس، بینش ریچارد اغلب در رسانه های برتر از جمله وال استریت ژورنال، CNBC و CNN ارائه می شود.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/silent-threat-of-apis-what-new-data-reveals-about-unknown-risk
- : دارد
- :است
- :نه
- :جایی که
- 1
- 100
- 11
- ٪۱۰۰
- ٪۱۰۰
- 500
- a
- درباره ما
- در دسترس
- مطابق
- در میان
- خطاب به
- تراز کردن
- معرفی
- تقریبا
- همچنین
- تقویت
- an
- و
- API
- رابط های برنامه کاربردی
- برنامه های کاربردی
- قدردانی
- هستند
- AS
- مرتبط است
- At
- حمله
- حمله
- حضار
- مطلع
- موانع
- BE
- شدن
- میان
- بزرگترین
- هر دو
- نقض
- پهن
- کسب و کار
- اما
- صدا
- CAN
- قابلیت های
- سرمایه گذاری
- به چالش
- رئیس
- اشاره
- ابر
- CNBC
- CNN
- می آید
- پیچیده
- پیچیدگی
- اعتماد به نفس
- اتصال
- در نظر بگیرید
- به طور مستمر
- ادامه
- هسته
- شرکت
- میتوانست
- شورا
- کشور
- بحرانی
- امنیت سایبری
- تاریک
- داده ها
- خرابی داده ها
- حریم خصوصی داده ها
- عمیق تر
- خواستار
- وابستگی
- گسترش
- با وجود
- توسعه
- دیجیتال
- شیرجه رفتن
- تنوع
- دو
- هر
- به طور موثر
- هر دو
- تمام
- معادل
- ماهیت
- ارزیابی
- حتی
- هر
- در حال تحول
- اجرایی
- گسترش
- گسترش
- گسترش می یابد
- تجربه
- تخصص
- وسیع
- چهره
- عوامل
- ویژه
- همکار
- پیدا کردن
- یافته ها
- برای
- فوربس
- کسر
- چارچوب
- از جانب
- کاملا
- ویژگی های
- جمع آوری
- داده
- جهانی
- در سطح جهانی
- جاذبه زمین
- تا حد زیادی
- شدن
- آیا
- داشتن
- he
- پنهان
- زیاد
- مشخص کردن
- خود را
- HTTPS
- هویت
- اهمیت
- in
- از جمله
- لوازم
- صنعت
- به ناچار
- شالوده
- محرم راز
- بینش
- موسسه
- غیرمستقیم
- ادغام
- ادغام
- داخلی
- داخلی
- به
- ذاتا
- همیشه
- نیست
- موضوع
- IT
- روزنامه
- تنها
- کلید
- مفتاح
- سخنران اصلی
- دانش
- چشم انداز
- تا حد زیادی
- لایه
- منجر می شود
- کمترین
- سطح
- کم
- عمده
- اکثریت
- ساخت
- مدیریت
- مدیریت
- بسیاری
- حداکثر عرض
- معیارهای
- رسانه ها
- عضو
- تولید گزارشات تاریخی
- دقیق
- قدرت
- کاهش
- بیش
- اکثر
- طبیعت
- ضرورت
- جدید
- رابطه
- نه
- ایده
- عدد
- تعداد
- of
- افسر
- غالبا
- on
- ONE
- فقط
- or
- سازمانی
- سازمان های
- دیگر
- خارج
- روی
- نظارت
- شرکت کنندگان
- گذشته
- ادراک شده
- در صد
- ادراک
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- پتانسیل
- بالقوه
- هدیه
- جلوگیری از
- جلوگیری
- اولویت بندی
- اولویت
- خلوت
- مشکل
- مشخصات
- پروفایل
- پروفایل
- عمیق
- فراهم می کند
- عمومی
- مورد سوال
- رادار
- محدوده
- سریعا
- دلایل
- شناختن
- شناختن
- ماندن
- مشهور
- گزارش
- نشان دهنده
- منابع
- پاسخ دهندگان
- پاسخ
- منحصر
- فاش می کند
- ریچارد
- طلوع
- طلوع
- خطر
- خطرات
- نقش
- به طور معمول
- s
- پراکنده
- بررسی موشکافانه
- امن
- تیم امنیت لاتاری
- ارشد
- خدمت
- چند
- باید
- قابل توجه
- به طور قابل توجهی
- به طور همزمان
- شش
- گوینده
- طیف
- حمایت مالی
- نقاط
- گسترش
- پشته
- حالت
- می ایستد
- شروع
- دولت
- خیابان
- به شدت
- مهاجرت تحصیلی
- چنین
- سطح
- محسوس
- فن آوری
- آزمون
- تست
- نسبت به
- که
- La
- شان
- آنها
- آنجا.
- اینها
- شخص ثالث
- این
- هزاران نفر
- تهدید
- تهدید
- سه
- گره خورده است
- به
- ابزار
- بالا
- بالاترین
- قابل ردیابی
- روند
- مزاحم
- درست
- اعتماد
- دو
- دو برابر
- انواع
- زیر
- تأکید
- درک
- ناشناخته
- استفاده کنید
- وسیع
- بسیار
- چشم انداز
- حجم
- آسیب پذیری ها
- آسیب پذیر
- دیوار
- وال استریت
- وال استریت ژورنال
- ثروت
- وب
- چی
- چه زمانی
- که
- در حین
- WHO
- وسیع
- دامنه گسترده
- با
- در داخل
- سال
- هنوز
- زفیرنت
- صفر
- اعتماد صفر