קידוד מאובטח
מכיוון שממשקי API הם יעד מועדף על גורמי איומים, האתגר של אבטחת הדבק שמחזיק רכיבי תוכנה שונים יחד הופך לדחיפות גוברת
יוני 01 2023 • , 4 דקות לקרוא
ממשק תכנות יישומים (API) הוא גיבור בלתי מוכר של המהפכה הדיגיטלית. הוא מספק את הדבק שמדביק רכיבי תוכנה מגוונים על מנת ליצור חוויות משתמש חדשות. אבל במתן נתיב ישיר לבסיסי נתונים עורפיים, ממשקי API הם גם יעד אטרקטיבי עבור שחקני איומים. זה לא עוזר שהם התפוצצו במספרם בשנים האחרונות, מה שהוביל פריסות רבות ללכת ללא תיעוד ולא מאובטח.
לפי במחקר שנערך לאחרונה, 94% מהארגונים הגלובליים חוו בעיות אבטחת API בייצור במהלך השנה האחרונה, כאשר כמעט חמישית (17%) סבלה מפרצה הקשורה ל-API. הגיע הזמן להשיג נראות ושליטה באבני הבניין הדיגיטליות הללו.
עד כמה גרועים איומי API?
ממשקי API הם המפתח ל מפעל בר חיבור: תפיסה של גרטנר שבה מעודדים ארגונים לחלק את היישומים שלהם יכולות עסקיות ארוזות (PBCs). הרעיון הוא שהרכבת הרכיבים הקטנים הללו בדרכים שונות מאפשרת לארגונים לנוע בצורה זריזה יותר במהירות רבה יותר - יצירת פונקציונליות וחוויות חדשות בתגובה לצרכים עסקיים המתפתחים במהירות. ממשקי API הם מרכיב קריטי של PBCs שהשימוש בהם עלה לאחרונה עם האימוץ המוגבר של ארכיטקטורות מיקרו-שירותים.
כמעט כל (97%) מובילי ה-IT העולמיים לכן עכשיו מסכים שביצוע מוצלח של אסטרטגיית API היא חיונית להכנסות ולצמיחה עתידית. אבל יותר ויותר הנפח העצום של ממשקי API והפצתם על פני ארכיטקטורות וצוותים מרובים הם מקור לדאגה. בארגון גדול עשויים להיות עשרות או אפילו מאות אלפי APIs מול לקוחות ושותפים. אפילו ארגונים בינוניים עשויים להפעיל אלפים.
מה ההשפעה על חברות?
גם האיומים רחוקים מלהיות תיאורטיים. רק השנה ראינו:
- T-Mobile ארה"ב מודה ש-37 מיליון לקוחות קיבלו גישה למידע האישי והחשבון שלהם על ידי שחקן זדוני באמצעות API
- הרשאה פתוחה (OAuth) שהוגדרה בצורה שגויה יישומים באתר Booking.com שיכול היה לאפשר התקפות השתלטות רציניות על חשבון משתמש באתר
לא רק המוניטין של החברה והשורה התחתונה נמצאים בסיכון מאיומי API. הם יכולים גם להחזיק פרויקטים עסקיים חשובים. יותר ממחצית (59%) מהארגונים טוענים שהם נאלצו להאט את ההשקה של אפליקציות חדשות בגלל חששות אבטחת API. זו חלק מהסיבה שבגללה זה כעת נושא דיון ברמת C עבור מחצית מהדירקטורים.
שלושת הסיכונים המובילים ב-API
ישנן עשרות דרכים שבהן האקרים יכולים לנצל ממשק API, אך OWASP הוא המשאב המומלץ עבור אלה שרוצים להבין את האיומים הגדולים ביותר על הארגון שלהם. שֶׁלָה רשימת 10 המובילים של OWASP API Security לשנת 2023 מפרט את שלושת סיכוני האבטחה העיקריים הבאים:
- הרשאה ברמת אובייקט שבור (BOLA): API לא מצליח לאמת אם למבקש צריכה להיות גישה לאובייקט. זה יכול להוביל לגניבת נתונים, שינוי או מחיקה. תוקפים צריכים רק להיות מודעים לכך שהבעיה קיימת - אין צורך בפריצות קוד או סיסמאות גנובות כדי לנצל את BOLA.
- אימות שבור: הגנות אימות חסרות ו/או מיושמות באופן שגוי. אימות API יכול להיות "מורכב ומבלבל" עבור מפתחים רבים, שעשויות להיות להם תפיסות שגויות לגבי איך ליישם אותו, מזהיר OWASP. גם מנגנון האימות עצמו חשוף לכל אחד, מה שהופך אותו למטרה אטרקטיבית. יש להתייחס לנקודות קצה של API האחראיות לאימות באופן שונה מאחרים, עם הגנה משופרת. וכל מנגנון אימות בשימוש חייב להיות מתאים לווקטור ההתקפה הרלוונטי.
- הרשאת רמת נכס אובייקט שבור (BOPLA): תוקפים מסוגלים לקרוא או לשנות את הערכים של מאפייני אובייקט שהם לא אמורים לגשת אליהם. נקודות קצה של API פגיעות אם הן חושפות את המאפיינים של אובייקט הנחשבים לרגישים ("חשיפה מוגזמת לנתונים"); או אם הם מאפשרים למשתמש לשנות, להוסיף/או למחוק את הערך של המאפיין של אובייקט רגיש ("הקצאה המונית"). גישה לא מורשית עלולה לגרום לחשיפת נתונים לגורמים לא מורשים, אובדן נתונים או מניפולציה של נתונים.
חשוב גם לזכור שפגיעויות אלו אינן סותרות זו את זו. כמה מהפרצות הקשות ביותר מבוססות API נגרמו על ידי שילוב של ניצולים כמו BOLA וחשיפה מוגזמת לנתונים.
כיצד להפחית איומי API
בהתחשב במה שעל כף המאזניים, חיוני שתבנה אבטחה בכל אסטרטגיית API מההתחלה. זה אומר להבין היכן נמצאים כל ממשקי ה-API שלך, ולשלב כלים וטכניקות לניהול אימות נקודות קצה, תקשורת רשת מאובטחת, הפחתת באגים נפוצים והתמודדות עם האיום של בוטים רעים.
הנה כמה מקומות להתחיל:
- שפר את ממשל ה-API על ידי מעקב אחר מודל פיתוח אפליקציה ממוקד API המאפשר לך להשיג נראות ושליטה. בכך, תעביר את האבטחה שמאלה כדי להחיל פקדים בשלב מוקדם במחזור החיים של פיתוח התוכנה ולהפוך אותם לאוטומטיים בצנרת ה-CI/CD
- השתמש בכלי גילוי API כדי לבטל את מספר ממשקי ה-API של הצללים שכבר נמצאים בארגון ולהבין היכן נמצאים ממשקי API והאם הם מכילים נקודות תורפה
- פרוס שער API שמקבל בקשות לקוחות ומנתב אותם לשירותי הקצה הנכונים. כלי ניהול זה יעזור לך לאמת, לשלוט, לנטר ולאבטח תעבורת API
- הוסף חומת אש של יישום אינטרנט (WAF) כדי לשפר את האבטחה של השער שלך, חסימת תעבורה זדונית כולל DDoS וניסיונות ניצול
- הצפין את כל הנתונים (כלומר, באמצעות TLS) נוסע דרך ממשקי API, כך שלא ניתן ליירט אותו בהתקפות אדם-באמצע
- השתמש ב-OAuth לשליטה בגישה ל-API למשאבים כמו אתרים מבלי לחשוף את אישורי המשתמש
- החל הגבלת תעריפים כדי להגביל את התדירות שבה ניתן לקרוא ל-API שלך. זה יפחית את האיום מהתקפות DDoS וספייקים לא רצויים אחרים
- השתמש בכלי ניטור כדי לרשום את כל אירועי האבטחה ולסמן פעילות חשודה
- שקול גישה של אפס אמון אשר מניח שלא ניתן לסמוך על משתמשים, נכסים או משאבים בתוך ההיקף. במקום זאת, תצטרך לדרוש הוכחה לאימות והרשאה עבור כל פעולה
טרנספורמציה דיגיטלית היא הדלק המניע צמיחה בת קיימא עבור הארגון המודרני. זה מציב ממשקי API בראש ובמרכז של כל פרויקט פיתוח חדש. הם חייבים להיות מתועדים בקפדנות, מפותחים עם עקרונות מאובטחים לפי עיצוב ומוגנים בייצור בגישה רב-שכבתית.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 10
- 2023
- 80
- a
- יכול
- אודות
- מקבל
- גישה
- נצפה
- חֶשְׁבּוֹן
- לרוחב
- שחקנים
- אימוץ
- תעשיות
- להתיר
- מאפשר
- לבד
- כְּבָר
- גם
- an
- ו
- כל
- כל אחד
- API
- גישה לממשק API
- ממשקי API
- האפליקציה
- פיתוח אפליקציות
- בקשה
- יישומים
- החל
- גישה
- מתאים
- אפליקציות
- ARE
- AS
- נכסים
- At
- לתקוף
- המתקפות
- מושך
- לאמת
- אימות
- אישור
- אוטומטי
- מודע
- עורפי
- קצה אחורי
- רע
- BE
- כי
- היה
- הגדול ביותר
- חסימה
- אבני
- הזמנה
- Booking.com
- בוטים
- תַחתִית
- הפרה
- פרות
- לשבור
- באגים
- לִבנוֹת
- בִּניָן
- עסקים
- אבל
- by
- נקרא
- CAN
- קטגוריה
- גרם
- מרכז
- לאתגר
- שינוי
- לטעון
- לקוחות
- קוד
- COM
- שילוב
- Common
- תקשורת
- רְכִיב
- רכיבים
- מושג
- דְאָגָה
- דאגות
- נחשב
- להכיל
- לִשְׁלוֹט
- שליטה
- בקרות
- משותף
- יכול
- לִיצוֹר
- יוצרים
- קריטי
- לקוחות
- נתונים
- הפרת נתונים
- אובדן נתונים
- מאגרי מידע
- DDoS
- דרישה
- פריסות
- פרטים
- מפותח
- מפתחים
- צעצועי התפתחות
- דיגיטלי
- מהפכה דיגיטלית
- ישיר
- חשיפה
- תגלית
- דיון
- הפצה
- שונה
- לא
- עושה
- מטה
- עשרות
- e
- מוקדם
- אלמנטים
- בוטל
- מופעל
- מאפשר
- עודד
- נקודת קצה
- להגביר את
- משופר
- מִפְעָל
- חברות
- אֲפִילוּ
- אירועים
- כל
- מתפתח
- בלעדי
- מבצע
- קיים
- מנוסה
- חוויות
- לנצל
- ניצול
- מעללים
- חשוף
- חשיפה
- עיניים
- נכשל
- רחוק
- חביב
- מעטים
- חומת אש
- חברות
- הבא
- בעד
- החל מ-
- חזית
- לתדלק
- פונקציונלי
- עתיד
- לְהַשִׂיג
- גרטנר
- שער כניסה
- גלוֹבָּלִי
- Go
- ממשל
- יותר
- צמיחה
- האקרים
- פריצות
- היה
- חצי
- יש
- לעזור
- גיבור
- להחזיק
- מחזיק
- איך
- איך
- HTML
- HTTPS
- מאות
- i
- רעיון
- if
- פְּגִיעָה
- ליישם
- חשוב
- in
- כולל
- גדל
- גדל
- יותר ויותר
- מידע
- בתוך
- במקום
- מִמְשָׁק
- אל תוך
- IT
- עצמו
- jpg
- רק
- מפתח
- גָדוֹל
- מְאוּחָר
- שכבות
- עוֹפֶרֶת
- מנהיגים
- מוביל
- עזבו
- רמה
- מעגל החיים
- כמו
- מגביל
- קו
- היכנס
- את
- ראשי
- עשייה
- לנהל
- ניהול
- מניפולציה
- רב
- max-width
- מאי..
- אומר
- מנגנון
- מיקרו
- מִילִיוֹן
- דקות
- תפיסות מוטעות
- חסר
- להקל
- מודל
- מודרני
- צג
- ניטור
- יותר
- המהלך
- רב שכבתי
- מספר
- צריך
- הֲדָדִית
- כמעט
- צורך
- נחוץ
- צרכי
- רשת
- חדש
- לא
- עַכשָׁיו
- מספר
- oauth
- אובייקט
- of
- לעתים קרובות
- on
- רק
- לפתוח
- or
- להזמין
- ארגון
- ארגונים
- אחר
- אחרים
- יותר
- חלק
- צדדים
- סיסמאות
- עבר
- נתיב
- אישי
- פיל
- מקומות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- כוח
- עקרונות
- בעיה
- בעיות
- הפקה
- תכנות
- פּרוֹיֶקט
- פרויקטים
- הוכחה
- נכסים
- רכוש
- מוּגָן
- .
- מספק
- מתן
- מכניס
- מהר
- ציון
- חומר עיוני
- טעם
- לאחרונה
- רלוונטי
- לזכור
- מוניטין
- בקשות
- משאב
- משאבים
- תגובה
- אחראי
- לְהַגבִּיל
- תוצאה
- הכנסה
- מַהְפֵּכָה
- תקין
- הסיכון
- סיכונים
- פריסה
- נתיבים
- ריצה
- s
- לבטח
- אַבטָחָה
- אבטחה
- אירועי אבטחה
- סיכוני אבטחה
- לראות
- רגיש
- רציני
- שירותים
- Shadow
- משמרת
- צריך
- להאט
- קטן יותר
- So
- תוכנה
- רכיבי תוכנה
- פיתוח תוכנה
- כמה
- מָקוֹר
- מְהִירוּת
- יתד
- התחלה
- גָנוּב
- אִסטרָטֶגִיָה
- בהצלחה
- כזה
- סֵבֶל
- אמור
- זינק
- חשוד
- בר קיימא
- צמיחה בת קיימא
- לְהִתְמוֹדֵד
- השתלטות
- נטילת
- יעד
- צוותי
- טכניקות
- עשרות
- מֵאֲשֶׁר
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- תיאורטי
- שם.
- אלה
- הֵם
- זֶה
- השנה
- אלה
- אלפים
- איום
- איום שחקנים
- איומים
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- יַחַד
- כלי
- כלים
- חלק עליון
- 10 למעלה
- נושא
- תְנוּעָה
- טרנספורמציה
- סומך
- מהימן
- להבין
- הבנה
- לא מאובטח
- לא רצוי
- ארה"ב
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- ערך
- ערכים
- שונים
- לאמת
- באמצעות
- ראות
- חיוני
- כֶּרֶך
- פגיעויות
- פגיע
- רוצה
- מזהיר
- דרכים
- אינטרנט
- אפליקציית רשת
- אתרים
- אם
- אשר
- מי
- של מי
- למה
- יצטרך
- עם
- לְלֹא
- גרוע
- שנה
- שנים
- אתה
- זפירנט
- אפס
- אפס אמון