アプリケーション セキュリティ: API を通じて新たな攻撃対象領域に対抗します。 アプリケーションを適切に保護できるようにするには、企業がさまざまな脅威ベクトルを理解することが不可欠です。
現在、アプリケーションはデータセンターからスマートフォンに至るまで、最も多様な IT 環境に存在し、その数は増え続けています。 リモートワークの増加は、ますます多くのアプリケーションをクラウドにアウトソーシングする必要があることも意味します。 これにより、アプリケーションのセキュリティに関する潜在的なリスクが増加しました。 したがって、アプリケーションを適切に保護できるようにするには、企業がさまざまな脅威ベクトルを理解することが不可欠です。
脅威源としてのボット
間違いなく、ボットは長い間アプリケーションに対する脅威の源であり、現在では成功した攻撃ベクトルのリストのトップに位置しています。 さらに、人的ミスによって引き起こされる侵害が多いため、防御に隙を残さないことがこれまで以上に重要です。 ただし、セキュリティ チームはボットだけに注目すべきではありません。 ゼロデイ脅威、Web アプリケーションの脆弱性、ソフトウェア サプライ チェーン、API (アプリケーション プログラミング インターフェイス) も、セキュリティ専門家が同様に注意を払うべき関連領域です。
バラクーダ社の最近の調査によると、世界的な組織 750 社のうち、72% が過去 40 年間にアプリケーションの脆弱性による少なくとも XNUMX 回のセキュリティ侵害を経験しており、約 XNUMX% が複数回の侵害を報告しています。
API を介したアプリケーションの新たな攻撃対象領域
API によって新しいアプリケーション バージョンの開発が大幅に加速されるため、「API ファースト」開発に移行する企業が増えています。 ただし、これらのアプリケーションの可視性を拡大すると、まったく新しい攻撃対象領域が生まれます。
たとえば、小切手を現金化する場合、以前は銀行が最終的に受取人の口座に入金されるまでに、送金元の口座と関連詳細を確認するのに数日かかっていました。 現在、送金はスマートフォンのアプリを介して銀行振込で行われることが多くなっています。 この XNUMX つのトランザクションを実行するには、バックグラウンドで大量の IT が必要であり、これを保護する必要があります。
B2B エンドポイントでの検証
B2B エンドポイントの検査には人間は関与せず、すべてが API 経由で処理されますが、これは潜在的な攻撃対象領域となります。 API は本質的にアプリケーション ロジック、ユーザーの資格情報とトークン、あらゆる種類の個人情報をすべてクラウドの速度でユーザーのスマートフォンから公開するためです。 API ベースのアプリケーションは、機密データへの直接アクセスを提供するために意図的に使用されるため、従来の Web ベースのアプリケーションよりもはるかに危険にさらされます。
たとえば、ユーザーが Facebook をスクロールしたり、銀行アプリで株式ポートフォリオのライブ ティッカーをチェックしたりすると、携帯電話は API を介してデータ センターのサーバーと通信します。 スクロール中、これらの API は大きな英数字文字列を介して常に認証を行うため、このトラフィックをリアルタイムで検査して保護する必要があります。 上記のチェックの例とは異なり、連絡担当者が昼休みから戻ってくるまで待ってリクエストが正当かどうかをチェックすることはできません。
アプリケーションとAPIの保護
組織はますます API に注目していますが、セキュリティを維持するのに苦労しています。 サイバー犯罪者は、安全でない API を 2018 時間年中無休で利用できるようにボットを用意しています。 攻撃が成功すると、ハッカーは顧客データや従業員情報にアクセスできるようになり、自由に侵害できるようになります。 セキュリティ保護がまったく講じられていない状態で、本番データに直接アクセスして API をテストする例が数多くあります (Facebook の 75 年のセキュリティ違反など)。 API の保護は課題ですが、Barracuda の調査では、調査対象の組織の XNUMX% がリスクを認識しているという心強い調査結果が得られました。
API の防御は、現時点でセキュリティに関する最重要考慮事項の XNUMX つです。 したがって、企業は、アプリケーションがどこに存在しても保護できるように、包括的でスケーラブルで導入が簡単なプラットフォームを検討する必要があります。 Active Threat Intelligence を備えた Web アプリケーション ファイアウォール (WAF) は、アプリケーションを保護し、したがって API を上記の脅威から保護する最も管理しやすいソリューションです。 組織がアプリケーションの脆弱性によるセキュリティ侵害を回避するには、ゼロデイ脅威、ボット、DDoS 攻撃、サプライ チェーン侵害、クレデンシャル スタッフィングに対する防御だけでなく、クライアント側のセキュリティの実装や悪意のある内部関係者からの保護も優先事項に含める必要があります。
詳細は Barracuda.com をご覧ください[スターボックス=5]
トピックに関連する記事