הנוף הדיגיטלי המתפתח במהירות העניק לארגונים שפע של יכולות, בעיקר בשל ריבוי יישומי הענן. עם זאת, עם הברכה הזו מגיעה חרדה פוטנציאלית: סיכונים לא ידועים, שארגונים עשויים שלא להעריך עד תום או אפילו להכיר. צלילה עמוקה יותר לתוך הנתונים מ- Traceable's2023 מצב אבטחת API: ממצאים גלובלייםהדו"ח מספק תובנות מעמיקות לגבי אופי הסיכונים הלא ידועים הללו.
מחקר זה אסף תובנות מ-1,629 משיבים ביותר מ-100 מדינות ושש תעשיות מרכזיות. והנתונים מדאיגים: 74% מהארגונים נתקלו לפחות בשלוש פרצות נתונים הקשורות ל-API בשנתיים האחרונות. זה משמש כקריאת השכמה המדגישה מגמה מטרידה של עלייה בהפרות. במקביל, 88% מהארגונים פורסים יותר מ-2,500 יישומי ענן, מה שמצביע על רמה גבוהה של תלות דיגיטלית וקישוריות. רשת כה נרחבת של נקודות מגע דיגיטליות מרחיבה בהכרח את משטח ההתקפה.
הנוף הדיגיטלי הרחב הזה מציע פוטנציאל עצום, אבל אף אחד לא צריך לזלזל במשטח ההתקפה הנרחב שהוא מציג.
פענוח הסיכונים הלא ידועים
הבעיה המרכזית הבולטת בממצאי המחקר היא סוגיית הסיכון הלא ידוע. למרות העלייה בפריצות ל-API, 40% מהארגונים בודקים ללא הרף רק חלק קטן ממשקי ה-API שלהם לאיתור נקודות תורפה. פיקוח פוטנציאלי זה מוביל לרמת ביטחון של 26% בלבד במניעת התקפות, בעוד שרק 21% מהתקפות ה-API ניתנות לזיהוי וניתן להכיל.
האתגר המרכזי הוא שארגונים רבים נשארים בחושך לגבי מידת הסיכון של API. באופן מפתיע, רק 27% מהארגונים נותנים עדיפות גבוהה מאוד לקיום פרופיל סיכוני אבטחה עבור כל API, מה שמדגיש פיקוח פוטנציאלי בהערכת סיכונים. כשנשאלו לגבי הגורמים המעכבים את תעדוף אבטחת ה-API, 49% ציינו שההנהלה לא מעריכה את הסיכון, בעוד ש-37% נאבקו בהבנת אמצעים להפחתת איומים.
ממשקי API: הרחבת משטח ההתקפה
התפשטות ממשקי ה-API מרחיבה משמעותית את מגוון הפגיעויות הפוטנציאליות ווקטורי התקפה. על פי המחקר, 58% מהמשיבים מסכימים מאוד או מסכימים שממשקי API מרחיבים תמיד את משטח ההתקפה על פני כל שכבות הטכנולוגיה. זה קריטי מכמה סיבות:
-
נפח גדול של ממשקי API: קחו בחשבון את המספרים - 88% מהארגונים משתמשים ביותר מ-2,500 יישומי ענן ומנהלים אלפי ממשקי API. זה לא מוגבל לממשקי API שפותחו באופן פנימי. ארגונים משלבים באופן שגרתי ממשקי API של צד שלישי כדי להרחיב את הפונקציונליות, וכל אינטגרציה מייצגת וקטור התקפה פוטנציאלי חדש הדורש בדיקה מדוקדקת.
-
מגוון סוגי API: זהו שטיח דיגיטלי מורכב בחוץ, עם מכלול של סוגי API פתוחים לשותפים, צד שלישי ואחרים. פרופילי הסיכון של ממשקי API אלה יכולים להיות מגוונים. ממשקי API ציבוריים, הנגישים לקהל רחב, עשויים להיות מועדים למגוון רחב של וקטורי תקיפה, בעוד שממשקי API פנימיים, הנתפסים לרוב כמאובטחים, עשויים להיות פגיעים לאיומים פנימיים. בהדגשת המורכבות הזו, 58% ממשתתפי המחקר מסכימים שממשקי API מגדילים ללא עוררין את משטח ההתקפה על פני כל ערימת הטכנולוגיה.
-
תפיסות שונות לגבי סיכון API: התפיסה של התעשייה לגבי סיכון הקשור ל-API משתנה מאוד. כשנשאלים על החשיבות של פרופיל סיכון אבטחה עבור כל API, התגובות מפוזרות על פני הספקטרום. בעוד 52% מהנשאלים מכירים בצורך לתעדף זאת, 47% כמעט שוות ערך תופסים זאת כחשיבות נמוכה עד בינונית. המדאיגים ביותר הם שמונה האחוזים הרואים בכך זניח. עמדה מפוזרת זו מדגישה את ההבנה וההכרה הבלתי עקבית של התעשייה בסיכון API, ומאותתת על סדק פוטנציאלי בשריון הדיגיטלי של ארגונים רבים.
-
סיכון לא ידוע ומשטח ההתקפה המתרחב: הרעיון של סיכון לא ידוע קשור באופן מהותי לנוף ה-API המתרחב. כאשר 40% מהארגונים בודקים רק לסירוגין את ממשקי ה-API שלהם לאיתור נקודות תורפה, איומים פוטנציאליים רבים נותרים מתחת לרדאר. הנתונים מדגישים את החומרה: רק 21% מהמתקפות הקשורות ל-API ניתנות לזיהוי וניתנות להכלה, מה שמרמז שרוב התוקפים מנצלים סיכון לא ידוע. בעוד ש-27% מייחסים את העדיפות העליונה ביותר לפרופיל אבטחת API, מספר לא מבוטל עשוי להישאר לא מודע לאיומים הנסתרים האורבים במסגרות הדיגיטליות שלהם.
לפרש את הלא נודע
המהות של בעיית הסיכון הלא ידוע היא לא רק על האיומים המוחשיים שעומדים בפני ממשקי API אלא גם על החסמים הבלתי מוחשיים בתוך ארגונים שמונעים מהם לזהות ולטפל באיומים אלה ביעילות. זהו אתגר כפול: האחד, הפיכת ארגונים למודעים לסיכונים הפוטנציאליים, ושניים, לצייד אותם בכלים, בידע ובמשאבים כדי להפחית את הסיכונים הללו.
ככל שתפקידם של ממשקי API בתשתיות ארגוניות ממשיך לגדול, הסיכונים הלא ידועים הנלווים הופכים לאיום בלתי נראה. הקשר הזה בין נפח, גיוון ושכיחות של הערכת סיכונים הוא המקום שבו ארגונים רבים עשויים למצוא את הפגיעויות הגדולות ביותר שלהם. זה לא רק על ניהול עוד ממשקי API; מדובר בהבנה היכן נמצאים הנקודות העיוורות ולטפל בהן באופן יזום.
על המחבר
ריצ'רד בירד משמש כקצין האבטחה הראשי ב-Traceable. עם ניסיון עצום כמנהל ברמת C הן בתחום הארגוני והן בתחום הסטארט-אפים, ריצ'רד ידוע בכל העולם בשל מומחיותו באבטחת סייבר, פרטיות נתונים, זהות ואפס אמון. נואם מרכזי פורה, הוא מצטיין בהתאמת מציאות אבטחת סייבר עם ציוויים עסקיים. כעמית בכיר במכון CyberTheory Zero Trust וחבר מועצת הטכנולוגיה של פורבס, התובנות של ריצ'רד מוצגות לעתים קרובות במדיה המובילה, כולל הוול סטריט ג'ורנל, CNBC ו-CNN.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/attacks-breaches/silent-threat-of-apis-what-new-data-reveals-about-unknown-risk
- :יש ל
- :הוא
- :לֹא
- :איפה
- 1
- 100
- 11
- 15%
- 26%
- 500
- a
- אודות
- נגיש
- פי
- לרוחב
- פְּנִיָה
- יישור
- תעשיות
- כמעט
- גם
- להגביר
- an
- ו
- API
- ממשקי API
- יישומים
- להעריך
- ARE
- AS
- המשויך
- At
- לתקוף
- המתקפות
- קהל מאזינים
- מודע
- מחסומים
- BE
- להיות
- בֵּין
- הגדול ביותר
- שניהם
- פרות
- רחב
- עסקים
- אבל
- שיחה
- CAN
- יכולות
- לְנַצֵל
- לאתגר
- רֹאשׁ
- מצוטט
- ענן
- CNBC
- CNN
- מגיע
- מורכב
- מורכבות
- אמון
- קישוריות
- לשקול
- תמיד
- ממשיך
- ליבה
- משותף
- יכול
- המועצה
- מדינות
- קריטי
- אבטחת סייבר
- כהה
- נתונים
- הפרת נתונים
- פרטיות מידע
- עמוק יותר
- תובעני
- תלות
- לפרוס
- למרות
- מפותח
- דיגיטלי
- צלילה
- גיוון
- ראוי
- כל אחד
- יעילות
- או
- שלם
- שווה
- מַהוּת
- הערכה
- אֲפִילוּ
- כל
- מתפתח
- מנהלים
- לְהַרְחִיב
- הרחבת
- מתרחב
- ניסיון
- מומחיות
- נרחב
- פָּנִים
- גורמים
- מומלצים
- בחור
- ממצאים
- בעד
- פורבס
- שבריר
- מסגרות
- החל מ-
- לגמרי
- פונקציות
- אסף
- נתן
- גלוֹבָּלִי
- ברחבי עולם
- כוח משיכה
- מאוד
- לגדול
- יש
- יש
- he
- מוּסתָר
- גָבוֹהַ
- הדגשה
- שֶׁלוֹ
- HTTPS
- זהות
- חשיבות
- in
- כולל
- תעשיות
- תעשייה
- באופן בלתי נמנע
- תשתית
- Insider
- תובנות
- מכון
- בלתי מוחשי
- לשלב
- השתלבות
- פנימי
- כלפי פנים
- אל תוך
- באופן מהותי
- תמיד
- J States
- סוגיה
- IT
- כתב עת
- רק
- מפתח
- Keynote
- נואם מרכזי
- ידע
- נוף
- במידה רבה
- שכבות
- מוביל
- הכי פחות
- רמה
- נמוך
- גדול
- הרוב
- עשייה
- ניהול
- ניהול
- רב
- max-width
- אמצעים
- מדיה
- חבר
- סתם
- קַפְּדָנִי
- יכול
- להקל
- יותר
- רוב
- טבע
- הכרח
- חדש
- קשר
- לא
- רעיון
- מספר
- מספרים
- of
- קָצִין
- לעתים קרובות
- on
- ONE
- רק
- or
- אִרְגוּנִי
- ארגונים
- אחר
- הַחוּצָה
- יותר
- מֶחדָל
- המשתתפים
- עבר
- נתפס
- אָחוּז
- תפיסה
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פוטנציאל
- פוטנציאל
- מתנות
- למנוע
- מניעה
- סדר עדיפויות
- עדיפות
- פְּרָטִיוּת
- בעיה
- פּרוֹפִיל
- פרופילים
- פרופיל
- עמוק
- מספק
- ציבורי
- שאלה
- מכ"ם
- רכס
- מהר
- סיבות
- להכיר
- זיהוי
- להשאר
- ידוע
- לדווח
- מייצג
- משאבים
- המשיבים
- תגובות
- מוגבל
- מגלה
- ריצ'רד
- לעלות
- עולה
- הסיכון
- סיכונים
- תפקיד
- באופן שגרתי
- s
- פזור
- בדיקה
- לבטח
- אבטחה
- לחצני מצוקה לפנסיונרים
- משמש
- כמה
- צריך
- משמעותי
- באופן משמעותי
- בו זמנית
- שישה
- רַמקוֹל
- ספֵּקטרוּם
- ממומן
- נקודות
- התפשטות
- לערום
- עמדה
- עומד
- Start-up
- מדינה
- רְחוֹב
- בְּתוֹקֶף
- לימוד
- כזה
- משטח
- מוחשי
- טק
- מבחן
- בדיקות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- צד שלישי
- זֶה
- אלפים
- איום
- איומים
- שְׁלוֹשָׁה
- קָשׁוּר
- ל
- כלים
- חלק עליון
- גָבוֹהַ בִּיוֹתֵר
- ניתן למעקב
- מְגַמָה
- מטריד
- נָכוֹן
- סומך
- שתיים
- כָּפוּל
- סוגים
- תחת
- קו תחתון
- הבנה
- לא ידוע
- להשתמש
- Vast
- מאוד
- לצפיה
- כֶּרֶך
- פגיעויות
- פגיע
- קיר
- וול סטריט
- Wall Street Journal
- עושר
- אינטרנט
- מה
- מתי
- אשר
- בזמן
- מי
- רָחָב
- טווח רחב
- עם
- בתוך
- שנים
- עוד
- זפירנט
- אפס
- אפס אמון
