Безпека додатків: протидія новим поверхням атак через API. Щоб мати можливість належним чином захистити програми, компаніям важливо розуміти різні вектори загроз.
Сьогодні додатки знаходяться в найрізноманітніших ІТ-середовищах, від центрів обробки даних до смартфонів, і їх кількість постійно зростає. Збільшення віддаленої роботи також означало, що все більше і більше додатків потрібно передавати в хмару. Це збільшило потенційні ризики щодо безпеки програми. Тому, щоб мати можливість належним чином захистити свої програми, компаніям важливо розуміти різні вектори загроз.
Боти як джерело загрози
Безсумнівно, боти вже давно є джерелом загроз для програм і зараз очолюють список успішних векторів атак. Крім того, оскільки багато порушень спричинені помилками людини, як ніколи важливо переконатися, що жодні прогалини в захисті не залишаються відкритими. Однак служби безпеки не повинні зосереджуватися лише на роботах. Загрози нульового дня, уразливості веб-додатків, ланцюжок постачання програмного забезпечення та API (інтерфейси прикладного програмування) також є важливими областями, на які фахівці з безпеки повинні приділяти таку ж увагу.
Нещодавнє дослідження Barracuda показує, що з 750 глобальних організацій 72 відсотки зазнали принаймні одного порушення безпеки через уразливість додатка за останній рік, а майже 40 відсотків повідомили про більше одного порушення.
Нові поверхні атак для програм через API
Все більше і більше компаній переходять до розробки на основі API, оскільки API значно прискорюють розробку нових версій програм. Однак розширення видимості цих програм створює абсолютно нову поверхню для атаки.
Наприклад, під час переведення чека в готівку банку потрібно було кілька днів, щоб перевірити вихідний рахунок і пов’язані з ним деталі, перш ніж гроші нарешті надійдуть на рахунок одержувача. Сьогодні переказ грошей часто здійснюється банківськими переказами через додаток на смартфоні. Щоб здійснити цю транзакцію, у фоновому режимі потрібна велика кількість ІТ, і це потрібно захистити.
Перевірка на кінцевих точках B2B
Немає людей, залучених до перевірки кінцевих точок B2B, усе обробляється через API, які є потенційною поверхнею для атаки. Оскільки API за своєю суттю відкривають логіку додатків, облікові дані користувача та маркери, а також усіляку особисту інформацію, і все це на швидкості хмари та зі смартфона користувача. Програма на основі API є набагато більш уразливою, ніж традиційна веб-програма, оскільки вона навмисно використовується для надання прямого доступу до конфіденційних даних.
Наприклад, коли користувачі прокручують Facebook або перевіряють поточний тикер свого портфеля акцій у своєму банківському додатку, їхні телефони взаємодіють із серверами в їхніх центрах обробки даних через API. Під час прокручування ці API постійно автентифікуються за допомогою великих буквено-цифрових рядків, і цей трафік потрібно перевіряти та захищати в режимі реального часу. На відміну від наведеного вище прикладу перевірки, ви не можете чекати, поки контактна особа повернеться з обідньої перерви, щоб перевірити, чи законний запит.
Захист програм і API
Організації все частіше звертаються до API, але їм важко йти в ногу з безпекою. Кіберзлочинці готові за допомогою ботів стрибати через незахищені API 2018/75. Якщо атака успішна, хакери отримують доступ до даних клієнтів або інформації про співробітників, які вони можуть скомпрометувати за своїм бажанням. Є багато прикладів тестування API, які використовуються з прямим доступом до виробничих даних без будь-яких заходів безпеки (наприклад, порушення безпеки Facebook у XNUMX році). Хоча захист API є проблемою, обнадійливий висновок дослідження Barracuda показує, що XNUMX відсотків опитаних організацій усвідомлюють ризики.
Захист API зараз є одним із головних питань безпеки. Тому підприємствам слід розглянути комплексну, масштабовану та просту в розгортанні платформу для захисту своїх програм, де б вони не знаходилися. Брандмауер веб-застосунків (WAF) з Active Threat Intelligence є найбільш керованим рішенням для захисту програм і, отже, API від вищевказаних загроз. Захист від загроз нульового дня, ботів, DDoS-атак, компрометації ланцюга постачання, перекидання облікових даних, а також впровадження безпеки на стороні клієнта та захист від зловмисників повинні бути на порядку денному для організацій, щоб уникнути порушень безпеки через уразливості додатків.
Більше на Barracuda.com[starboxid=5]
Статті по темі