Уязвимостите в сигурността на API, които захранват съвременните цифрови услуги и приложения, се превърнаха в сериозна заплаха за системите и данните на бизнеса.
Доклад на Wallarm показва 21% увеличение на свързаните с API пропуски в сигурността между Q2 и края на Q3 на 2024 г. Почти 1/3 от тях (32%) са свързани с облачна инфраструктура и нейтив приложения и услуги в облака. Не е за подценяване и факта, че голяма част от тях са с оценки за сериозност от 7,5 или повече. Това показва нарастващ риск за организациите при използването на API.
Ето и четирите основни фактора, допринасящи за рисковете за сигурността на API, и какво трябва да правят организациите, за да ги ограничат.
Неправилно конфигурирани API
Много проблеми със сигурността на API през последните години произтичат от сравнително лесни за поправка неправилни конфигурации. Част от тях са неадекватната автентикация и оторизация, липсата на валидиране на входните данни, липсата на мониторинг и разкриването на чувствителни данни чрез съобщения за грешки. Те могат да имат тежки последици.
Организациите трябва да смекчат тези проблеми, като прилагат най-добрите практики за сигурност. Такива са строги проверки за оторизация, контрол на достъпа въз основа на роли, многофакторна автентикация. Филтрирането на входящите данни от страна на сървъра и преглед на отговорите на API също са в списъка с добри практики.
Лошо проектирани API
Лошо проектираните API са друг основен фактор за инциденти със сигурността. Това са API, които правят всичко както трябва, но по начин, улесняващ потенциалните нападатели. Пример за това са тези, които връщат повече информация, отколкото е необходима на приложението.
Други примери включват API, които използват невалидирани SQL входове, твърде сложни и раздути са или имат непоследователна структура.
Недобре проектираният API понякога може да игнорира и несъответствията в бизнес логиката. А според доклада на Imperva State of API Security 2024 злоупотребата с бизнес логика е най-значимата атака срещу API през миналата година.
Тези проблеми могат да бъдат преодолени чрез специализирана защита срещу поведенчески заплахи. Тя може не само да дешифрира необичайна употреба, но и да разпознае злонамерено намерение на потребител на API.
Липса на видимост
API се очертаха като водещ вектор за атака заради почти повсеместното си използване. Проучване на Imperva показва, че организациите имат средно 613 API крайни точки на акаунт. Доставчикът на сигурност установява, че API трафикът през 2023 г. представлява 71% от целия уеб трафик. Въпреки всичко това обаче много организации нямат достатъчно видимост за тях.
Първата стъпка за всяка компания в това отношение е спешно да открие и инвентаризира всички тези публични API. След това, разбира се, да предприеме незабавни мерки за тяхното подсигуряване.
Неадекватно тестване за сигурност
Много организации не успяват да приоритизират адекватно сигурността на API и често подценяват уникалните рискове, които те представляват. Според 2024 State of the API Report на Postman едва 37% от бизнесите извършват автоматизирано сканиране и редовни penetration тестове за откриване на уязвимостите по-рано в жизнения цикъл на разработка.
Сравнително малко имат интегрирани тестове за сигурност и проверки в своя процес на разработка на API или централизирани възможности за наблюдение.
А логиката е, че ако строите къща, първо трябва да сте сигурни в конструкцията ѝ и чак тогава да пуснете хора да живеят в нея.