अनुप्रयोग सुरक्षा: एपीआई के माध्यम से नए हमले की सतहों का मुकाबला करना। अनुप्रयोगों को पर्याप्त रूप से सुरक्षित करने में सक्षम होने के लिए, कंपनियों के लिए विभिन्न खतरे वाले वैक्टरों को समझना आवश्यक है।
आज, डेटा सेंटर से लेकर स्मार्टफोन तक, सबसे विविध आईटी वातावरण में एप्लिकेशन पाए जाते हैं और उनकी संख्या लगातार बढ़ रही है। दूरस्थ कार्य में वृद्धि का अर्थ यह भी है कि अधिक से अधिक एप्लिकेशन को क्लाउड पर आउटसोर्स करना पड़ता है। इसने एप्लिकेशन सुरक्षा के संदर्भ में संभावित जोखिमों को बढ़ा दिया है। अपने अनुप्रयोगों को पर्याप्त रूप से सुरक्षित करने में सक्षम होने के लिए, कंपनियों के लिए विभिन्न खतरे वाले वैक्टरों को समझना आवश्यक है।
बॉट्स एक खतरे के स्रोत के रूप में
निस्संदेह, बॉट्स लंबे समय से अनुप्रयोगों के लिए खतरों का स्रोत रहे हैं और अब सफल हमले वाले वैक्टरों की सूची में सबसे ऊपर हैं। इसके अलावा, मानव त्रुटि के कारण होने वाले कई उल्लंघनों के साथ, यह सुनिश्चित करना पहले से कहीं अधिक महत्वपूर्ण है कि रक्षा में कोई अंतराल खुला न रहे। हालाँकि, सुरक्षा टीमों को केवल बॉट्स पर ध्यान केंद्रित नहीं करना चाहिए। ज़ीरो-डे खतरे, वेब एप्लिकेशन भेद्यता, सॉफ़्टवेयर आपूर्ति श्रृंखला और एपीआई (एप्लीकेशन प्रोग्रामिंग इंटरफेस) भी प्रासंगिक क्षेत्र हैं जिन पर सुरक्षा पेशेवरों को उतना ही ध्यान देना चाहिए।
बाराकुडा के हालिया शोध से पता चलता है कि 750 वैश्विक संगठनों में से 72 प्रतिशत ने पिछले एक साल में एक आवेदन भेद्यता के माध्यम से कम से कम एक सुरक्षा उल्लंघन का अनुभव किया है, लगभग 40 प्रतिशत ने एक से अधिक उल्लंघन की सूचना दी है।
एपीआई के माध्यम से अनुप्रयोगों के लिए नए हमले की सतहें
अधिक से अधिक कंपनियां "एपीआई-प्रथम" विकास की ओर बढ़ रही हैं क्योंकि एपीआई नए एप्लिकेशन संस्करणों के विकास में काफी तेजी लाते हैं। हालाँकि, इन अनुप्रयोगों की दृश्यता का विस्तार एक पूरी नई हमले की सतह बनाता है।
उदाहरण के लिए, चेक को भुनाते समय, प्राप्तकर्ता के खाते में पैसा पहुंचने से पहले मूल खाते और संबंधित विवरणों को सत्यापित करने में बैंक को कई दिन लग जाते थे। आज, पैसे का हस्तांतरण अक्सर बैंक हस्तांतरण के माध्यम से स्मार्टफोन पर एक एप्लिकेशन के माध्यम से किया जाता है। इस एक लेन-देन को पूरा करने के लिए पृष्ठभूमि में बड़ी मात्रा में आईटी की आवश्यकता होती है और इसे संरक्षित किया जाना चाहिए।
B2B समापन बिंदुओं पर सत्यापन
बी2बी एंडपॉइंट्स के निरीक्षण में कोई इंसान शामिल नहीं है, सब कुछ एपीआई के माध्यम से नियंत्रित किया जाता है, जो एक संभावित हमले की सतह हैं। क्योंकि एपीआई स्वाभाविक रूप से एप्लिकेशन लॉजिक, उपयोगकर्ता क्रेडेंशियल्स और टोकन, और सभी तरह की व्यक्तिगत जानकारी को क्लाउड गति से और उपयोगकर्ता के स्मार्टफोन से उजागर करता है। एक एपीआई-आधारित एप्लिकेशन पारंपरिक वेब-आधारित एप्लिकेशन की तुलना में बहुत अधिक उजागर होता है क्योंकि इसका जानबूझकर संवेदनशील डेटा तक सीधी पहुंच प्रदान करने के लिए उपयोग किया जाता है।
उदाहरण के लिए, जब उपयोगकर्ता फेसबुक पर स्क्रॉल करते हैं या अपने बैंक ऐप में अपने स्टॉक पोर्टफोलियो लाइव टिकर की जांच करते हैं, तो उनके फोन एपीआई के माध्यम से अपने डेटा केंद्रों में सर्वर के साथ इंटरैक्ट करते हैं। स्क्रॉलिंग के दौरान, ये एपीआई लगातार बड़े अल्फ़ान्यूमेरिक स्ट्रिंग्स के माध्यम से खुद को प्रमाणित करते हैं, और इस ट्रैफ़िक को वास्तविक समय में निरीक्षण और सुरक्षित करने की आवश्यकता होती है। ऊपर दिए गए चेक उदाहरण के विपरीत, आप तब तक प्रतीक्षा नहीं कर सकते जब तक कोई संपर्क व्यक्ति लंच ब्रेक से वापस नहीं आता है, यह जांचने के लिए कि अनुरोध वैध है या नहीं।
अनुप्रयोगों और एपीआई के लिए सुरक्षा
संगठन तेजी से एपीआई की ओर रुख कर रहे हैं, लेकिन वे सुरक्षा बनाए रखने के लिए संघर्ष कर रहे हैं। साइबर अपराधी 2018/75 असुरक्षित एपीआई पर कूदने के लिए बॉट्स के साथ तैयार हैं। यदि कोई हमला सफल होता है, तो हैकर्स के पास ग्राहक डेटा या कर्मचारी की जानकारी तक पहुंच होती है, जिसे वे इच्छानुसार समझौता कर सकते हैं। परीक्षण एपीआई के कई उदाहरण हैं जिनका उपयोग बिना किसी सुरक्षा उपाय के उत्पादन डेटा तक सीधी पहुंच के साथ किया जा रहा है (जैसे कि फेसबुक का XNUMX सुरक्षा उल्लंघन)। एपीआई की सुरक्षा करना एक चुनौती है, लेकिन बाराकुडा अध्ययन से एक उत्साहजनक खोज से पता चलता है कि सर्वेक्षण में शामिल XNUMX प्रतिशत संगठन जोखिमों से अवगत हैं।
बचाव एपीआई अभी शीर्ष सुरक्षा विचारों में से एक है। इसलिए उद्यमों को जहां भी वे रहते हैं, उनके अनुप्रयोगों की सुरक्षा के लिए एक व्यापक, स्केलेबल और आसानी से तैनात प्लेटफॉर्म पर विचार करना चाहिए। एक्टिव थ्रेट इंटेलिजेंस के साथ एक वेब एप्लिकेशन फ़ायरवॉल (WAF) अनुप्रयोगों की सुरक्षा के लिए सबसे अधिक प्रबंधनीय समाधान है और इसलिए उपरोक्त खतरों से एपीआई। शून्य-दिन के खतरों, बॉट्स, DDoS हमलों, आपूर्ति श्रृंखला समझौता, क्रेडेंशियल स्टफिंग के साथ-साथ क्लाइंट-साइड सुरक्षा को लागू करना और दुर्भावनापूर्ण अंदरूनी लोगों से बचाव करना संगठनों के एजेंडे में होना चाहिए ताकि आवेदन कमजोरियों के माध्यम से सुरक्षा उल्लंघनों से बचा जा सके।
बाराकुडा डॉट कॉम पर अधिक[स्टारबॉक्स=5]
विषय से संबंधित लेख