Sécurité des applications : contrer les nouvelles surfaces d'attaque grâce aux API. Afin de pouvoir protéger adéquatement les applications, il est essentiel pour les entreprises de comprendre les différents vecteurs de menaces.
Aujourd'hui, les applications se retrouvent dans les environnements informatiques les plus divers, du datacenter au smartphone, et leur nombre ne cesse d'augmenter. L'augmentation du travail à distance signifie également que de plus en plus d'applications doivent être externalisées vers le cloud. Cela a augmenté les risques potentiels en termes de sécurité des applications. Afin de pouvoir protéger adéquatement leurs applications, il est donc primordial pour les entreprises de comprendre les différents vecteurs de menaces.
Les bots comme source de menace
Incontestablement, les bots ont longtemps été une source de menaces pour les applications et figurent désormais en tête de liste des vecteurs d'attaque réussis. De plus, avec de nombreuses brèches causées par des erreurs humaines, il est plus important que jamais de s'assurer qu'aucune brèche dans la défense n'est laissée ouverte. Cependant, les équipes de sécurité ne doivent pas se concentrer uniquement sur les bots. Les menaces du jour zéro, les vulnérabilités des applications Web, la chaîne d'approvisionnement logicielle et les API (interfaces de programmation d'applications) sont également des domaines pertinents auxquels les professionnels de la sécurité devraient accorder tout autant d'attention.
Des recherches récentes de Barracuda montrent que sur 750 organisations mondiales, 72 % ont connu au moins une faille de sécurité via une vulnérabilité d'application au cours de l'année écoulée, et près de 40 % ont signalé plus d'une violation.
Nouvelles surfaces d'attaque pour les applications via les API
De plus en plus d'entreprises se tournent vers le développement "API-first", car les API accélèrent considérablement le développement de nouvelles versions d'applications. Cependant, l'élargissement de la visibilité de ces applications crée une toute nouvelle surface d'attaque.
Par exemple, lors de l'encaissement d'un chèque, il fallait plusieurs jours à une banque pour vérifier le compte d'origine et les détails connexes avant que l'argent n'arrive finalement sur le compte du destinataire. Aujourd'hui, le transfert d'argent se fait souvent par virement bancaire via une application sur le smartphone. Afin de mener à bien cette seule transaction, une grande quantité d'informatique est nécessaire en arrière-plan et celle-ci doit être protégée.
Vérification aux terminaux B2B
Aucun humain n'est impliqué dans l'inspection des points de terminaison B2B, tout est géré via des API, qui constituent une surface d'attaque potentielle. Parce que les API exposent intrinsèquement la logique de l'application, les informations d'identification et les jetons de l'utilisateur, ainsi que toutes sortes d'informations personnelles, le tout à la vitesse du cloud et à partir du smartphone de l'utilisateur. Une application basée sur une API est beaucoup plus exposée qu'une application Web traditionnelle car elle est délibérément utilisée pour fournir un accès direct à des données sensibles.
Par exemple, lorsque les utilisateurs font défiler Facebook ou consultent leur portefeuille d'actions en direct dans leur application bancaire, leurs téléphones interagissent avec les serveurs de leurs centres de données via des API. Lors du défilement, ces API s'authentifient constamment via de grandes chaînes alphanumériques, et ce trafic doit être inspecté et sécurisé en temps réel. Contrairement à l'exemple de vérification ci-dessus, vous ne pouvez pas attendre qu'une personne de contact revienne de la pause déjeuner pour vérifier si la demande est légitime.
Protection des applications et des API
Les organisations se tournent de plus en plus vers les API, mais elles ont du mal à suivre le rythme de la sécurité. Les cybercriminels sont prêts avec des bots pour sauter sur des API non sécurisées 2018h/75 et XNUMXj/XNUMX. Si une attaque réussit, les pirates ont accès aux données des clients ou aux informations des employés, qu'ils peuvent compromettre à volonté. Il existe de nombreux exemples d'API de test utilisées avec un accès direct aux données de production sans aucune mesure de sécurité en place (comme la faille de sécurité de Facebook en XNUMX). Bien que la protection des API soit un défi, une conclusion encourageante de l'étude Barracuda montre que XNUMX % des organisations interrogées sont conscientes des risques.
La défense des API est l'une des principales considérations de sécurité en ce moment. Les entreprises doivent donc envisager une plate-forme complète, évolutive et facile à déployer pour protéger leurs applications où qu'elles résident. Un pare-feu d'application Web (WAF) avec Active Threat Intelligence est la solution la plus gérable pour protéger les applications et donc les API contre les menaces ci-dessus. La défense contre les menaces du jour zéro, les bots, les attaques DDoS, la compromission de la chaîne d'approvisionnement, le bourrage d'informations d'identification, ainsi que la mise en œuvre de la sécurité côté client et la protection contre les initiés malveillants devraient être à l'ordre du jour pour les organisations afin d'éviter les failles de sécurité via les vulnérabilités des applications.
Plus sur Barracuda.com[idboîteétoile=5]
Articles liés au sujet