لقد زاد انتشار الأعمال المعتمدة على التطبيقات أمان واجهة برمجة التطبيقات (API). أصبحت هذه المشكلات مصدر قلق ملح، مع ارتفاع عدد الحوادث الناجمة عن واجهات برمجة التطبيقات الضعيفة وتخطيط غالبية المؤسسات لمزيد من الاستثمار لمواكبة ذلك – ومع ذلك، في الوقت نفسه، توجد فجوة محيرة بين مدى ثقة قادة الأمن في قدراتهم أدوات أمان واجهة برمجة التطبيقات وعدد مرات تعرض واجهات برمجة التطبيقات الخاصة بها للهجوم.
هذا وفقًا لدراسة أجريت على أكثر من 600 قائد في جميع أنحاء المملكة المتحدة والولايات المتحدة، والتي أجراها متخصصون في أمن واجهة برمجة التطبيقات (API) ومقرها إسرائيل الأمن بدون اسم.
هذه هي السنة الثانية على التوالي التي تصدر فيها شركة Noname التقرير الذي يحمل عنوان قطع اتصال أمان APIوكما يوحي العنوان، بعد 12 شهرًا من الدراسة الأصلية، وجد باحثوها دليلاً على هذا الانفصال الغريب والمتزايد على ما يبدو بين المشاركين.
في العام الماضي، أعرب 61% عن ثقتهم في اختبارات أمان التطبيقات الديناميكية والثابتة (DAST و ساست) ، وهذا العام، وجدت شركة Noname أن هذه النسبة ارتفعت إلى 94%. ومع ذلك، قال 78% إنهم تعرضوا لحادث أمني لواجهة برمجة التطبيقات (API) في ذلك الوقت، ارتفاعًا من 76% في العام الماضي وارتفع إلى 85% بين المشاركين في المملكة المتحدة.
اقترح شاي ليفي، كبير مسؤولي التكنولوجيا في Noname، أن هذا النقص في الارتباط يشير إلى شيء ما، في مكان ما، لا ينقر تمامًا إذا كان العديد من المؤسسات يمكن أن تكون سعيدة بأدواتها بينما تواجه مستويات مرتفعة من الهجمات السيبرانية التي تتضمن شكلاً من أشكال استغلال واجهة برمجة التطبيقات.
واقترح ليفي أن هناك حاجة ملحة لمعالجة هذا الانفصال. وقال: “إن الزيادة المستمرة في الحوادث الأمنية لواجهة برمجة التطبيقات المبلغ عنها على مدار العامين الماضيين توضح أن هذا ليس اتجاهًا عابرًا، ولكنه حقيقة ملحة يجب على المؤسسات التعامل معها وتحديد أولوياتها”.
“لا غنى عن واجهات برمجة التطبيقات (APIs) في البيئة الحديثة اليوم، ولكن الجميع يشعرون بالقلق بشأن برامج الفدية وهجمات التصيد الاحتيالي وانتهاكات البيانات. ويؤكد هذا البحث سبب وجوب استمرار قادة الأمن في إعطاء الأولوية لأمن واجهة برمجة التطبيقات.
لماذا يعد أمان واجهة برمجة التطبيقات (API) مهمًا؟
يتقدم أمان واجهة برمجة التطبيقات (API) على جدول الأعمال بسبب الانتشار الكبير لواجهات برمجة التطبيقات (API) حول العالم – وينمو استخدامها حاليًا بحوالي 200% سنويًا. وقال ليفي: “نقول إنه لا يوجد أي جزء من التعليمات البرمجية مكتوب في السنوات السبع الماضية لا يكشف عن واجهة برمجة التطبيقات أو يستهلكها”.
ومع ذلك، تابع، فإن واجهات برمجة التطبيقات (APIs) تعد أيضًا مصدرًا واضحًا للمخاطر لعدة أسباب – فهي مهمة بالغة الأهمية لمعظم المؤسسات الكبيرة؛ التواجد في بيئة متناثرة عبر العديد من السحب العامة والبوابات والمناطق؛ والأهم من ذلك أن استخدامها يضع فرق الأمان والمطورين في صراع.
نظرًا لحكمة مجرمي الإنترنت في مثل هذه الأمور، أصبحت واجهات برمجة التطبيقات (APIs) وسيلة هجوم رئيسية، مع العديد من الحوادث الأمنية البارزة والهجمات السيبرانية التي تنطوي على استخدامها – ولعل أهمها في الآونة الأخيرة هو هجوم 2022 على السفينة الأسترالية أوبتوس، والتي كشفت بيانات الملايين من عملاء شركة الاتصالات.
يعتمد نهج Noname فيما يتعلق بأمن واجهة برمجة التطبيقات (API) – والذي تصفه بأنه “كامل واستباقي” – على ثلاث ركائز:
- إدارة الموقف – الكشف عن نقاط الضعف والتكوينات الخاطئة لتسريع المعالجة وتسهيل الامتثال؛
- أمان وقت التشغيل – اكتشاف هجمات واجهة برمجة التطبيقات (API) وحظرها من خلال تحليل حركة المرور في الوقت الفعلي المدعوم بالتعلم الآلي؛
- اختبار واجهة برمجة التطبيقات – العثور على ثغرات واجهة برمجة التطبيقات ومعالجتها أثناء دورة التطوير.
ليفي، خبير استخبارات إلكتروني إسرائيلي ومهندس برمجيات ميتا سابق شارك في تأسيس شركة Noname في عام 2020 – جاء الاسم أو عدمه لأنه لم يتمكن هو ومؤسسه المشارك من التفكير في أي شيء لوضعه على المستندات القانونية التي تتضمن تأسيس الشركة – يدعي أن معظم المتخصصين الآخرين في أمان واجهة برمجة التطبيقات (API) ما زالوا يركزون بشدة على الركيزة الوسطى لوقت التشغيل.
وقال: “بالنسبة للشركات، أصبح من المهم للغاية أن تكون استباقيًا، مما يعني تحليل ما هو موجود بالفعل وإيجاد فجوة لسدها قبل أن تصبح ناقلًا للهجوم السيبراني”.
يعالج النموذج أيضًا بدقة أهم 10 مخاطر لـ OWASP على أمان واجهة برمجة التطبيقات (API).. قال Noname إن أدوات أمان واجهة برمجة التطبيقات التقليدية هي في الغالب جدران الحماية لتطبيقات الويب (واف) و بوابات API، ليست ذات صلة حقًا بمعالجة هذه المشكلات، كما أوضح مايك أومالي، مدير التسويق الرئيسي.
“قبل Noname، عندما كنت تتحدث إلى CISO [chief information security officer] ويسألون عما إذا كان لديهم أمان واجهة برمجة التطبيقات (API)، فسيقولون إن لديهم بوابة أو WAF. “سبب وجود Noname هو أن هذه المنتجات لم تكن مصممة لتهديدات واجهة برمجة التطبيقات الحديثة.
“نظرًا لأن تهديدات واجهة برمجة التطبيقات (API) الحديثة متجذرة جدًا في نهج منطق الأعمال، فإن WAFs والبوابات، على الرغم من أنها تخدم غرضًا ما، إلا أنها لم يتم تصميمها لمواجهة هذه التحديات.
“جذر الانفصال هو أنهم [buyers] قال أومالي: “أعتقد أن البائع يمكنه التعامل مع أفضل 10 OWASP باستخدام WAF، وهو أمر أقل فأقل”.
ولحسن الحظ، وجد التقرير أيضًا دليلاً واضحًا على أن قادة الأمن يجعلون أمن واجهة برمجة التطبيقات (API) أولوية أكثر مما كانوا عليه قبل 12 شهرًا – قال 81% أن هذا هو الحال (84% في المملكة المتحدة و78% في الولايات المتحدة) – والبيانات كما أشار بوضوح أيضًا إلى تأثير الحجم المتزايد للحوادث المرتبطة بواجهة برمجة التطبيقات، مثل فقدان السمعة ورحيل الموظفين أو العملاء.
البريطانيون متخلفون في بعض المناطق
وتضمنت بعض النتائج الأخرى التي توصل إليها التقرير رؤية مفادها أن فرق المملكة المتحدة تميل إلى أن تكون أقل وضوحًا لواجهات برمجة التطبيقات في مخزونها مقارنة بالفرق الأمريكية (70% إلى 74%)، لكن البريطانيين يميلون إلى تحقيق أداء أفضل في معرفة أي من واجهات برمجة التطبيقات هذه التي كانت حساسة على وجه التحديد البيانات (28% إلى 19%).
يبدو أيضًا أن أداء المؤسسات الأمريكية كان أفضل عندما يتعلق الأمر باختبار واجهة برمجة التطبيقات، حيث أجرت 19% منها اختبارات أمان واجهة برمجة التطبيقات في الوقت الفعلي مقارنة بـ 17% في المملكة المتحدة، وهو عكس ما ورد في تقرير 2022، عندما كانت الأرقام 14% في المملكة المتحدة و 8% للولايات المتحدة.
