A mobilalkalmazások, a felhőszolgáltatások és a webalkalmazások fellendülése aggasztó trendhez vezetett: a támadók egyre gyakrabban veszik célba az őket alátámasztó API-kat. A vállalatoknak eszközökre van szükségük az adatban gazdag csatlakozók biztonságossá tételéhez, és a CrowdStrike bejelentése, miszerint befektet a Salt Securityba, rávilágít az API-biztonság kritikus szerepére a webalkalmazások biztonságában.
Az API-k – alkalmazásprogramozási felületek – mindenütt jelen vannak a modern vállalatokban. Tekintsük a következő:
- A térképet és helyadatokat megjelenítő webalkalmazások a Google Maps API-ra támaszkodnak.
- Egy több fizetési lehetőséget kínáló e-kereskedelmi alkalmazás, például a „PayPal fizetés” funkció, API-t használ.
- A kiskereskedők API-kat használnak a futárokkal és szállítócégekkel való együttműködéshez, hogy biztosítsák a csomagok megfelelő felvételét és kézbesítését.
- A vállalatok API-n keresztül küldhetnek szoftvert. Ezt csinálja a Tesla.
„Az API-k kötik össze azokat a kritikus adatokat és szolgáltatásokat, amelyek napjaink digitális innovációját vezérlik” – mondta Roey Eliyahu, a Salt Security vezérigazgatója és társalapítója.
A fejlesztők az API-kra támaszkodnak, hogy alkalmazásaikat több adatforráshoz és szolgáltatáshoz kapcsolják, hogy új szolgáltatásokat és termékeket hozzanak létre anélkül, hogy a nulláról kellene kezdeniük. Például nem sok szervezet rendelkezik erőforrásokkal vagy adatokkal a részletes térképek karbantartásához, de erre nincs is szükségük, mert a Google Térkép egy API-n keresztül kínálja az információkat. Azonban az a tény, hogy az API-k hozzáférhetnek az érzékeny adatok és rendszerek sebezhetővé teszik őket. Ha az API-val valamilyen módon visszaélnek, az felfedheti a mögöttes adatokat, és adatsértéshez vezethet.
A hiba a Peloton API-ban lehetővé tette, hogy bárki lekérje a felhasználók privát fiókadatait közvetlenül a Peloton szervereiről, még akkor is, ha a felhasználó profilja privátra van állítva. Hasonló helyzet volt egy pénzügyi hitelező oldallal kapcsolatban, ahol a szivárgó Experian API lehetővé tette, hogy bárki más hitelpontszámait csak névvel és levelezési címmel nézze meg.
"A vállalatok hatalmas számú API-t állítanak elő olyan ütemben, amely messze meghaladja a hálózat- és alkalmazásbiztonsági gyakorlatok érettségét" - írták a Gartner elemzői, Jeremy D'Hoinne és Mark O'Neill. legutóbbi „Gartner Predicts” jelentés az API biztonságáról. „Az erős készletre és a valós idejű felfedezésre egyaránt szükség van ahhoz, hogy a szervezet által előállított összes API-t kellően átláthassuk.”
Pénzügyi szempontból a CrowdStrike befektetésének van értelme. Az API biztonsági piaca 26.3 és 2022 között várhatóan 2032%-kal fog növekedni. a Future Market Insights kutatása Korábban, ebben a hónapban. A Gartner becslése szerint az API-támadások hamarosan a webalkalmazások leggyakoribb támadási vektoraivá válnak.
A beruházás mellett a CrowdStrike azt állítja, hogy a Salt Security-vel együtt kíván dolgozni a biztonsági tesztelés során, hogy megerősítsék az API-kat, valamint az API-felderítést és az alkalmazások futásidejű védelmét.
