Γιατί η ασφάλεια API είναι μια ταχέως αναπτυσσόμενη απειλή για τις επιχειρήσεις που βασίζονται σε δεδομένα

Γιατί η ασφάλεια API είναι μια ταχέως αναπτυσσόμενη απειλή για τις επιχειρήσεις που βασίζονται σε δεδομένα

November 30, 2022 0 Von admin

Ρίξτε μια ματιά στις συνεδρίες κατ‘ απαίτηση από τη Σύνοδο Κορυφής Low-Code/No-Code για να μάθετε πώς να καινοτομείτε με επιτυχία και να επιτύχετε αποτελεσματικότητα, αναβαθμίζοντας και κλιμακώνοντας τους πολίτες προγραμματιστές. Παρακολουθήσετε τώρα.


Καθώς οι επιχειρήσεις που βασίζονται σε δεδομένα βασίζονται σε μεγάλο βαθμό στην αρχιτεκτονική εφαρμογών λογισμικού τους, οι διεπαφές προγραμματισμού εφαρμογών (API) καταλαμβάνουν σημαντική θέση. Τα API έχουν φέρει επανάσταση στον τρόπο με τον οποίο χρησιμοποιούνται οι διαδικτυακές εφαρμογές, καθώς βοηθούν τους αγωγούς επικοινωνίας μεταξύ πολλαπλών υπηρεσιών. Οι προγραμματιστές μπορούν να ενσωματώσουν οποιαδήποτε σύγχρονη τεχνολογία στην αρχιτεκτονική τους χρησιμοποιώντας API, τα οποία είναι πολύ χρήσιμα για την προσθήκη λειτουργιών που χρειάζεται ένας πελάτης.

Από τη φύση τους, τα API είναι ευάλωτα στην έκθεση της λογικής των εφαρμογών και ευαίσθητων δεδομένων, όπως προσωπικά αναγνωρίσιμες πληροφορίες (PII), γεγονός που τα καθιστά εύκολο στόχο για τους εισβολείς. Συχνά διαθέσιμα μέσω δημόσιων δικτύων (προσβάσιμα από οπουδήποτε), τα API είναι συνήθως καλά τεκμηριωμένα και μπορούν γρήγορα να αναστραφούν από κακόβουλους παράγοντες. Είναι επίσης ευαίσθητα σε περιστατικά άρνησης υπηρεσίας (DDoS).

Οι πιο σημαντικές διαρροές δεδομένων οφείλονται σε ελαττωματικά, ευάλωτα ή παραβιασμένα API, τα οποία μπορούν να αποκαλύψουν ιατρικά, οικονομικά και προσωπικά δεδομένα στο ευρύ κοινό. Επιπλέον, μπορεί να προκύψουν διάφορες επιθέσεις εάν ένα API δεν είναι σωστά ασφαλισμένο, καθιστώντας την ασφάλεια API μια ζωτική πτυχή για τις επιχειρήσεις που βασίζονται σε δεδομένα σήμερα.

Γιατί η ασφάλεια API είναι απαραίτητη

Η ανάπτυξη API έχει αυξηθεί αστρονομικά τα τελευταία χρόνια, τροφοδοτούμενη από τον ψηφιακό μετασχηματισμό και τον κεντρικό ρόλο του στις εφαρμογές για κινητά και την ανάπτυξη IoT. Αυτή η ανάπτυξη και μια ποικιλία πιθανών επιθέσεων καθιστούν την ασφάλεια API εξαιρετικά απαραίτητη.

Εκδήλωση

Ευφυής Σύνοδος Ασφάλειας

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου στις 8 Δεκεμβρίου. Εγγραφείτε για το δωρεάν πάσο σας σήμερα.

Κάνε εγγραφή τώρα

Καθώς οι μικροϋπηρεσίες και οι αρχιτεκτονικές χωρίς διακομιστή έχουν γίνει πιο διαδεδομένες, οι επιθέσεις περιλαμβάνουν την παράκαμψη της εφαρμογής πελάτη για να διακοπεί η λειτουργία μιας εφαρμογής για άλλους χρήστες ή η παραβίαση προσωπικών πληροφοριών. Επιπλέον, σπασμένα, εκτεθειμένα ή παραβιασμένα API μπορούν επίσης να οδηγήσουν σε παραβιάσεις του συστήματος υποστήριξης.

Στο API Ασφάλεια και Διαχείριση κανω ΑΝΑΦΟΡΑ [subscription required]η Gartner προβλέπει ότι έως το 2023, οι καταχρήσεις API θα μετακινηθούν από τις σπάνιες στο πιο συχνό διάνυσμα επιθέσεων, με αποτέλεσμα παραβιάσεις δεδομένων για εταιρικές εφαρμογές web και έως το 2025, περισσότερο από το 50% της κλοπής δεδομένων θα οφείλεται σε μη ασφαλή API.

«Στη Gartner, μιλάμε τακτικά με οργανισμούς που έχουν υποστεί παραβιάσεις των API τους», δήλωσε στο VentureBeat ο Mark O’Neill, αντιπρόεδρος αναλυτής της Gartner. «Τα API είναι ιδιαίτερα ευάλωτα επειδή πολλές ομάδες ασφαλείας είναι λιγότερο εξειδικευμένες στην προστασία API. Αυτό είναι ιδιαίτερα ανησυχητικό για νεότερους τύπους API όπως το GraphQL.“

Δεδομένου του κρίσιμου ρόλου που διαδραματίζουν στον ψηφιακό μετασχηματισμό και της πρόσβασης σε ευαίσθητα δεδομένα και συστήματα που παρέχουν, τα API απαιτούν πλέον μια ειδική προσέγγιση στην ασφάλεια και τη συμμόρφωση.

Ασφάλεια API έναντι ασφάλειας εφαρμογών

Η ασφάλεια API εστιάζει στην ασφάλεια αυτού του επιπέδου εφαρμογής και στην αντιμετώπιση του τι μπορεί να συμβεί εάν ένας κακόβουλος χάκερ αλληλεπιδράσει απευθείας με το API. Η ασφάλεια API περιλαμβάνει επίσης την εφαρμογή στρατηγικών και διαδικασιών για τον μετριασμό των τρωτών σημείων και των απειλών ασφαλείας.

Όταν μεταφέρονται ευαίσθητα δεδομένα μέσω του API, ένα προστατευμένο API μπορεί να εγγυηθεί το απόρρητο του μηνύματος καθιστώντας το διαθέσιμο σε εφαρμογές, χρήστες και διακομιστές με τα κατάλληλα δικαιώματα. Εξασφαλίζει επίσης την ακεραιότητα του περιεχομένου επαληθεύοντας ότι οι πληροφορίες δεν τροποποιήθηκαν μετά την παράδοση.

«Όποιος οργανισμός προσβλέπει στον ψηφιακό μετασχηματισμό πρέπει να αξιοποιήσει τα API για την αποκέντρωση των εφαρμογών και ταυτόχρονα την παροχή ολοκληρωμένων υπηρεσιών. Επομένως, η ασφάλεια API θα πρέπει να είναι ένας από τους βασικούς τομείς εστίασης», δήλωσε ο Muralidharan Palanisamy, επικεφαλής λύσεων στο AppViewX.

Μιλώντας για το πώς η ασφάλεια API διαφέρει από τη γενική ασφάλεια εφαρμογών, ο Palanisamy είπε ότι η ασφάλεια εφαρμογών είναι παρόμοια με την ασφάλιση της κύριας πόρτας, η οποία χρειάζεται ισχυρούς ελέγχους για την πρόληψη εισβολέων. Ταυτόχρονα, η ασφάλεια API έχει να κάνει με την ασφάλεια των παραθύρων και της αυλής.

«Ένα αδύνατο σημείο σε τέτοιους τομείς θα επηρεάσει την εφαρμογή. Η ασφάλεια API, στην ουσία, είναι ένα υποσύνολο της πλήρους ασφάλειας εφαρμογής χωρίς την οποία δεν μπορεί να ασφαλιστεί η εφαρμογή στο σύνολό της», είπε.

Πηγή εικόνας: Αναφορά ασφαλείας κατάστασης API από Ασφάλεια αλατιού.

Erez Yalon, Αντιπρόεδρος της έρευνας ασφάλειας στο Checkmarxλέει ότι η ασφάλεια API δεν διαφέρει από την παραδοσιακή εφαρμογή appsec, αλλά προσθέτει περισσότερους τομείς στους οποίους πρέπει να δώσουν προσοχή οι οργανισμοί.

«Η αρχιτεκτονική με επίκεντρο το API έχει περισσότερα τελικά σημεία που ένας πιθανός εισβολέας μπορεί να προσπαθήσει να καταχραστεί. ονομάζουμε αυτό «ανάπτυξη επιφάνειας επίθεσης», είπε. «Επιπλέον, ο τρόπος με τον οποίο τα δεδομένα μεταφέρονται και μοιράζονται μέσω των API διευκολύνει την ακούσια έκθεση ευαίσθητων δεδομένων σε αδιάκριτα βλέμματα».

Ο Yalon είπε ότι τα API θα μπορούσαν να γίνουν πιο ασφαλή όταν ληφθεί υπόψη η ασφάλεια από το πρώτο βήμα και η πρώτη γραμμή κώδικα γραφτεί, αντί να προστεθεί ως πρόσθετο επίπεδο αργότερα στο παιχνίδι.

«Κάθε τελικό σημείο API πρέπει να τεκμηριώνεται και οι οργανισμοί πρέπει να έχουν σαφείς οδηγίες για την κατάργηση παλαιών και αχρησιμοποίητων API. Διασφάλιση ενός ενημερωμένου SBOM [software bill of materials] η ύπαρξη το κάνει πιο απλό», είπε ο Yalon.

Κρίσιμα τρωτά σημεία και επιθέσεις API

Τα API καθιερώθηκαν γρήγορα ως η προτιμώμενη μέθοδος κατασκευής σύγχρονων εφαρμογών, ειδικά για κινητές συσκευές και το διαδίκτυο των πραγμάτων (IoT). Ωστόσο, ενόψει των διαρκώς μεταβαλλόμενων μεθόδων ανάπτυξης εφαρμογών και των πιέσεων για καινοτομία, ορισμένες εταιρείες πρέπει ακόμα να κατανοήσουν πλήρως τους πιθανούς κινδύνους που συνδέονται με τη διάθεση των API τους στο κοινό. Πριν από τη δημόσια ανάπτυξη, οι επιχειρήσεις πρέπει να είναι προσεκτικές για αυτά τα κοινά λάθη ασφαλείας:

  • Σφάλματα ελέγχου ταυτότητας: Πολλά API απορρίπτουν αιτήματα κατάστασης ελέγχου ταυτότητας από έναν γνήσιο χρήστη. Ένας εισβολέας μπορεί να αναπαράγει αιτήματα API εκμεταλλευόμενοι τέτοιες ελλείψεις με διάφορους τρόπους, συμπεριλαμβανομένης της παραβίασης περιόδων σύνδεσης και της συγκέντρωσης λογαριασμών.
  • Έλλειψη κρυπτογράφησης: Πολλά API δεν διαθέτουν ισχυρά επίπεδα κρυπτογράφησης μεταξύ του πελάτη API και του διακομιστή. Λόγω τέτοιων ελαττωμάτων, οι εισβολείς μπορούν να υποκλέψουν μη κρυπτογραφημένες ή ανεπαρκώς προστατευμένες συναλλαγές API, να κλέψουν ευαίσθητα δεδομένα ή να αλλάξουν τα δεδομένα συναλλαγής.
  • Εσφαλμένη ασφάλεια τελικού σημείου: Καθώς οι περισσότερες συσκευές IoT και εργαλεία microservice έχουν σχεδιαστεί για να επικοινωνούν με τον διακομιστή μέσω ενός καναλιού API, οι χάκερ προσπαθούν να αποκτήσουν τον έλεγχό τους μέσω των τελικών σημείων του IoT. Κάτι τέτοιο μπορεί συχνά να επαναφέρει την παραγγελία του API, με αποτέλεσμα παραβίαση δεδομένων.

Τρέχουσες προκλήσεις στην ασφάλεια API

Σύμφωνα με τον Yannick Bedard, επικεφαλής δοκιμών διείσδυσης, ασφάλεια της IBM X-Force Red, μία από τις τρέχουσες προκλήσεις στην ασφάλεια API είναι να δοκιμάζονται για ασφάλεια, καθώς οι επιδιωκόμενες λογικές ροές μπορεί να είναι δύσκολο να κατανοηθούν και να δοκιμαστούν αν δεν είναι σαφώς καθορισμένες.

„Σε μια εφαρμογή Ιστού, αυτές οι λογικές ροές είναι διαισθητικές μέσω της χρήσης της διεπαφής χρήστη ιστού, αλλά σε ένα API, μπορεί να είναι πιο δύσκολο να αναλυθούν αυτές οι ροές εργασίας“, είπε ο Bedard στο VentureBeat. «Αυτό μπορεί να οδηγήσει σε δοκιμές ασφαλείας που λείπουν τρωτά σημεία που μπορεί, με τη σειρά τους, να εκμεταλλευτούν οι εισβολείς».

Ο Bedard είπε ότι καθώς η διοχέτευση των API γίνεται όλο και πιο περίπλοκη, συχνά προκύπτουν ερωτήματα σχετικά με το ποια υπηρεσία είναι υπεύθυνη για ποια πτυχή της ασφάλειας και σε ποιο σημείο τα δεδομένα θεωρούνται «καθαρά».

«Είναι σύνηθες οι υπηρεσίες να εμπιστεύονται εγγενώς τα δεδομένα που προέρχονται από άλλα API ως καθαρά, μόνο που αποδεικνύεται ότι δεν έχουν απολυμανθεί σωστά», είπε.

Ο Bernard λέει ότι ένα παράδειγμα αυτού ήταν η αρχική ανακάλυψη της ευπάθειας Log4J, όπου οι περισσότερες εταιρείες εστίασαν κυρίως σε αυτό που είχαν απευθείας πρόσβαση στο Διαδίκτυο.

«Τα κακόβουλα δεδομένα θα έρεαν τελικά σε backend API, μερικές φορές πίσω από πολλές άλλες υπηρεσίες. Αυτά τα API θα ήταν, με τη σειρά τους, ευάλωτα και θα μπορούσαν να παρέχουν στον εισβολέα μια αρχική βάση στον οργανισμό», είπε.

Πηγή εικόνας: Αναφορά ασφαλείας κατάστασης API από την Salt Security.

«Η κορυφαία πρόκληση είναι η ανακάλυψη, καθώς πολλές ομάδες ασφαλείας απλώς δεν είναι σίγουρες πόσα API διαθέτουν», δήλωσε η Sandy Carielli, κύρια αναλυτής της Forrester.

Ο Carielli είπε ότι πολλές ομάδες αναπτύσσουν εν αγνοία τους αδίστακτα API ή μπορεί να υπάρχουν μη συντηρημένα API που είναι ακόμα δημόσια προσβάσιμα, γεγονός που μπορεί να οδηγήσει σε αρκετούς κινδύνους για την ασφάλεια.

«Οι προδιαγραφές API θα μπορούσαν να είναι ξεπερασμένες και δεν μπορείτε να προστατεύσετε ό,τι δεν ξέρετε ότι έχετε», είπε. «Ξεκινήστε με την κατανόηση των στοιχείων ελέγχου που έχετε ήδη στο περιβάλλον σας για την ασφάλεια των API και, στη συνέχεια, εντοπίστε και αντιμετωπίστε τα κενά. Ουσιαστικά, φροντίστε να αντιμετωπίσετε τον εντοπισμό και το απόθεμα API.“

Βέλτιστες πρακτικές για τη βελτίωση της ασφάλειας API

Η ισχύς της ασφάλειας API εξαρτάται εξ ολοκλήρου από τον τρόπο με τον οποίο η αρχιτεκτονική δεδομένων κάποιου επιβάλλει τις πολιτικές ελέγχου ταυτότητας και εξουσιοδότησης. Χάρη στις τεχνολογικές εξελίξεις όπως οι υπηρεσίες cloud, οι πύλες API και οι πλατφόρμες ενσωμάτωσης επιτρέπουν πλέον στους παρόχους API να ασφαλίζουν τα API τους με μοναδικούς τρόπους. Η στοίβα τεχνολογίας στην οποία επιλέγετε να δημιουργήσετε τα API σας επηρεάζει τον τρόπο με τον οποίο τα ασφαλίζετε.

Μπορούν να χρησιμοποιηθούν διάφορες προσεγγίσεις για την αποτελεσματική άμυνα του συστήματός σας από εισβολείς API:

  • Πύλη API: Μια πύλη API είναι το θεμέλιο ενός πλαισίου ασφαλείας API, καθώς καθιστά απλή την ανάπτυξη, τη συντήρηση, την παρακολούθηση και την ασφάλεια των API. Η πύλη API μπορεί να αμυνθεί έναντι διαφόρων απειλών και να παρέχει παρακολούθηση, καταγραφή και περιορισμό ρυθμού API. Μπορεί επίσης να αυτοματοποιήσει την επικύρωση διακριτικού ασφαλείας και τον περιορισμό της κυκλοφορίας με βάση διευθύνσεις IP και άλλα δεδομένα.
  • Τείχη προστασίας εφαρμογών Ιστού: Ένα τείχος προστασίας διαδικτυακής εφαρμογής ή WAF, λειτουργεί ως μεσαίο επίπεδο μεταξύ της δημόσιας κυκλοφορίας και της πύλης ή της εφαρμογής API. Τα WAF μπορούν να προσφέρουν πρόσθετη προστασία έναντι των παραγόντων απειλών, όπως τα bots, παρέχοντας ανίχνευση κακόβουλου bot, τη δυνατότητα αναγνώρισης υπογραφών επίθεσης και πρόσθετη νοημοσύνη IP. Τα WAF μπορεί να είναι ωφέλιμα για τον αποκλεισμό της κακής κυκλοφορίας πριν καν φτάσει στην πύλη σας.
  • Εφαρμογές ασφαλείας: Μεμονωμένα προϊόντα ασφαλείας που υποστηρίζουν λειτουργίες όπως προστασία σε πραγματικό χρόνο, στατικό κώδικα και σάρωση ευπάθειας, έλεγχο ενσωματωμένου χρόνου και θόλωση ασφαλείας μπορούν επίσης να ενσωματωθούν στην αρχιτεκτονική ασφαλείας.
  • Ασφάλεια στον κωδικό: Ο κωδικός ασφαλείας είναι μια μορφή προστασίας που εφαρμόζεται εσωτερικά στο API ή στις εφαρμογές. Ωστόσο, οι πόροι που απαιτούνται για να διασφαλιστεί ότι όλα τα μέτρα ασφαλείας εφαρμόζονται σωστά στον κώδικα API σας μπορεί να είναι δύσκολο να εφαρμοστούν με συνέπεια σε όλα τα χαρτοφυλάκια API σας.

Το μέλλον της ασφάλειας API

Roy Liebermann, επικεφαλής της επιτυχίας πελατών στο Surf Securityπιστεύει ότι η μηδενική εμπιστοσύνη μπορεί να είναι μια άλλη εναλλακτική λύση για την άμυνα έναντι εσωτερικών και εξωτερικών απειλών.

«Όσον αφορά τα API, η μηδενική εμπιστοσύνη είναι σημαντική τόσο για τους πελάτες όσο και για τους διακομιστές», είπε. «Μια εφαρμογή που βασίζεται σε API μπορεί να έχει έναν τεράστιο αριθμό μικροϋπηρεσιών, γεγονός που καθιστά δύσκολο για τους ηγέτες ασφαλείας να παρακολουθούν την ανάπτυξη και τον αντίκτυπό τους στην ασφάλεια. Η υιοθέτηση των αρχών μηδενικής εμπιστοσύνης διασφαλίζει ότι κάθε microservice επικοινωνεί με τα λιγότερα προνόμια, αποτρέποντας τη χρήση ανοιχτών θυρών και επιτρέποντας τον έλεγχο ταυτότητας και την εξουσιοδότηση σε κάθε API.“

Ο Liebermann συνιστά στους CISO να επεκτείνουν τη μηδενική εμπιστοσύνη στα API για να μειώσουν τον κίνδυνο οι χάκερ να εκμεταλλευτούν την επικοινωνία API για να κλέψουν δεδομένα.

Ομοίως, η Palanisamy λέει ότι καθώς η ασφάλεια μηδενικής εμπιστοσύνης και οι αρχιτεκτονικές μηδενικής εμπιστοσύνης αποκτούν δυναμική, η ασφάλεια API θα είναι ένας από τους κύριους τομείς εστίασης, ειδικά με το SaaS και άλλες υπηρεσίες cloud που χρησιμοποιούνται σήμερα.

«Το κλειδί είναι να το δούμε αυτό με μια προσέγγιση σε επίπεδο επιχείρησης. Η ασφάλεια API δεν μπορεί να λυθεί εστιάζοντας μόνο σε μερικές εφαρμογές», είπε.

«Πιθανότατα θα δούμε μια διαφορετική αλλαγή παραδείγματος λογισμικού τα επόμενα πέντε χρόνια που συνδυάζει χαρακτηριστικά από την ασφάλεια REST και SOAP. Πιστεύω ότι θα υπάρξει ένα παράδειγμα ανάπτυξης λογισμικού όπου τα χαρακτηριστικά από κάθε μέθοδο χρησιμοποιούνται για τη δημιουργία μιας συνδυασμένης ανώτερης μεθόδου», είπε ο Nabil Hannan, Διευθύνων Σύμβουλος στο NetSPI, είπε στο VentureBeat. „Αυτός ο συνδυασμός θα αφαιρέσει την ασφάλεια από τα χέρια των προγραμματιστών και θα επιτρέψει την καλύτερη υιοθέτηση „ασφαλούς από τη σχεδίαση“.

Ο Χάναν είπε ότι η έννοια της ταυτότητας και του ελέγχου ταυτότητας αλλάζει και πρέπει να απομακρυνθούμε από τα ονόματα χρήστη και τους κωδικούς πρόσβασης και τον έλεγχο ταυτότητας δύο παραγόντων, ο οποίος βασίζεται στο ότι οι άνθρωποι δεν κάνουν σφάλματα.

«Η ροή εργασιών ελέγχου ταυτότητας θα μετατοπιστεί σε αυτό που κάνουν εταιρείες όπως η Apple σχετικά με τη διαχείριση ταυτότητας με καινοτομίες όπως το κλειδί iOS16. Αυτό θα αναπτυχθεί μέσω API στο εγγύς μέλλον», είπε.

Η αποστολή του VentureBeat πρόκειται να αποτελέσει μια ψηφιακή πλατεία της πόλης για τους τεχνικούς λήπτες αποφάσεων ώστε να αποκτήσουν γνώσεις σχετικά με τη μετασχηματιστική επιχειρηματική τεχνολογία και να πραγματοποιήσουν συναλλαγές. Ανακαλύψτε τις Ενημερώσεις μας.