הפריחה באפליקציות לנייד, שירותי ענן ויישומי אינטרנט הובילה למגמה מדאיגה: התוקפים מכוונים יותר ויותר לממשקי ה-API העומדים בבסיסם. ארגונים זקוקים לכלים על מנת לאבטח את המחברים עתירי הנתונים הללו, וההכרזה של CrowdStrike כי היא משקיעה ב-Salt Security מדגישה את התפקיד הקריטי של אבטחת ה-API באבטחת יישומי אינטרנט.
ממשקי API - ממשקי תכנות יישומים - נמצאים בכל מקום בארגון המודרני. שקול את הדברים הבאים:
- יישום אינטרנט המציג מפה ונתוני מיקום מסתמך על ה-API של מפות Google.
- אפליקציית מסחר אלקטרוני המציעה אפשרויות תשלום מרובות, כגון התכונה "שלם עם PayPal", משתמשת ב-API.
- קמעונאים משתמשים בממשקי API כדי לעבוד עם שליחים וחברות משלוחים כדי להבטיח שהחבילה נאספה ומועברת בצורה נכונה.
- חברות עשויות לשלוח תוכנה באמצעות API. זה מה שטסלה עושה.
"ממשקי API מחברים את הנתונים והשירותים הקריטיים שמניעים את החדשנות הדיגיטלית של היום", אמר רואי אליהו, מנכ"ל ומייסד שותף ב-Salt Security, בהצהרה.
מפתחים מסתמכים על ממשקי API כדי לחבר את היישומים שלהם למספר מקורות נתונים ושירותים על מנת לבנות תכונות ומוצרים חדשים מבלי להתחיל מאפס. לדוגמה, לא לארגונים רבים יש את המשאבים או הנתונים לתחזק מפות מפורטות, אך אין להם צורך בכך מכיוון ש-Google Maps מציעה את המידע באמצעות API. עם זאת, העובדה שלממשקי API יש גישה נתונים ומערכות רגישים הופכים אותם לפגיעים. אם ה-API מנוצל איכשהו, זה יכול לחשוף את הנתונים הבסיסיים ולגרום לפרצת נתונים.
A באג ב-Peloton API אפשרה לכל אחד למשוך את נתוני החשבון הפרטי של המשתמשים ישירות מהשרתים של פלוטון, גם אם פרופיל משתמש מוגדר כפרטי. היה מצב דומה עם אתר הלוואות פיננסיות, שבו א ממשק API של Experian דולף אפשרו לכל אחד לחפש ציוני אשראי של מישהו אחר רק עם שם וכתובת דואר.
"חברות מייצרות מספר עצום של ממשקי API בקצב העולה בהרבה על הבשלות של שיטות אבטחת רשת ויישומים", כתבו האנליסטים של גרטנר, ג'רמי ד'הוין ומארק אוניל. דוח "Gartner Predicts" האחרון על אבטחת API. "מלאי חזק וגילוי בזמן אמת נחוצים כדי לקבל מספיק נראות לכל ממשקי ה-API שהארגון מייצר."
מנקודת מבט פיננסית, ההשקעה של CrowdStrike הגיונית. שוק אבטחת ה-API צפוי לגדול ב-26.3% בין 2022 ל-2032, על פי מחקר מ- Future Market Insights מוקדם יותר החודש. גרטנר מעריכה שהתקפות API יהפכו בקרוב לווקטור ההתקפה השכיח ביותר עבור יישומי אינטרנט.
בנוסף להשקעה, CrowdStrike אומרת שהיא מתכננת לעבוד עם Salt Security על בדיקות אבטחה כדי להקשיח ממשקי API וגילוי API והגנת זמן ריצה עבור יישומים.
