توقعت شركة Gartner أن تكون واجهات برمجة التطبيقات (APIs) هي ناقل الهجوم رقم 1
محتوى هذا المنشور هو مسؤولية المؤلف فقط. لا تتبنى AT&T أو تؤيد أيًا من وجهات النظر أو المواقف أو المعلومات التي يقدمها المؤلف في هذه المقالة.
على مدى السنوات القليلة الماضية، أصبحت واجهات برمجة التطبيقات بسرعة عنصرًا استراتيجيًا أساسيًا للشركات التي ترغب في التوسع والنجاح في صناعاتها. في الواقع، وفقًا لأبحاث حديثة، 97% من المؤسسات يعتقد القادة أن التنفيذ الناجح لاستراتيجية واجهة برمجة التطبيقات (API) يعد أمرًا ضروريًا لضمان نمو مؤسستهم وإيراداتها. وقد أدى هذا التحول إلى انتشار هائل في واجهات برمجة التطبيقات، حيث تعتمد الشركات على مئات أو حتى آلاف واجهات برمجة التطبيقات لتقديم عروضها التكنولوجية، وتعزيز منتجاتها، والاستفادة من البيانات من مصادر مختلفة.
ومع ذلك، مع هذا النمو، فتحت الشركات الباب أمام زيادة المخاطر. في عام 2021، توقعت شركة Gartner أن تصبح واجهات برمجة التطبيقات (APIs) هي الحل الأمثل أعلى ناقلات الهجوم. الآن، بعد مرور عامين وعدد من الانتهاكات الملحوظة عبر واجهات برمجة التطبيقات لاحقًا، من الصعب (أو بالأحرى من المستحيل) الاعتراض على هذا.
الاتجاهات الأمنية التي تشكل مشهد واجهة برمجة التطبيقات
أحد أكبر نواقل التهديد عندما يتعلق الأمر بواجهات برمجة التطبيقات هو صعوبة تأمينها. يتطور النظام البيئي لواجهة برمجة التطبيقات (API) باستمرار، حيث تنتج المؤسسات أعدادًا هائلة من واجهات برمجة التطبيقات (API) بطريقة تتجاوز نضج أدوات أمان الشبكة والتطبيقات. يتم إنشاء العديد من واجهات برمجة التطبيقات الجديدة على الأنظمة الأساسية والبنيات الناشئة ويتم استضافتها في بيئات سحابية مختلفة. وهذا يجعل إجراءات الأمان التقليدية مثل جدران حماية تطبيقات الويب وبوابات واجهة برمجة التطبيقات (API) غير فعالة لا يمكن تلبية متطلبات الأمان الفريدة لواجهات برمجة التطبيقات.
بالنسبة للجهات الفاعلة السيئة، فإن الافتقار إلى التدابير الأمنية المتاحة لواجهات برمجة التطبيقات يعني أنها أسهل في الاختراق من التقنيات الأخرى التي تعتمد على البنى والبيئات التقليدية (والآمنة). نظرًا لأن العديد من الشركات قامت باستثمار كبير في النظام البيئي لواجهة برمجة التطبيقات (API) الخاص بها وجعلت واجهات برمجة التطبيقات (API) أساسية جدًا لعملياتها، فإن الهجوم على واجهة برمجة التطبيقات (API) يمكن أن يكون في الواقع مؤثرًا للغاية. على هذا النحو، إذا تمكن أحد المجرمين الإلكترونيين من الوصول إلى واجهة برمجة التطبيقات (API) التي تتعامل مع البيانات الحساسة، فقد يتسبب في قدر كبير من الضرر المالي وضرر السمعة.
وفي الوقت نفسه، تتمتع العديد من الشركات برؤية محدودة لمخزون واجهة برمجة التطبيقات الخاصة بها. وهذا يعني أنه قد يكون هناك العديد من واجهات برمجة التطبيقات غير المُدارة و”غير المرئية” داخل بيئة الشركة، وهذا يزيد من صعوبة فهم فرق الأمان للنطاق الكامل لسطح الهجوم، ومعرفة مكان كشف البيانات الحساسة، ومواءمة وسائل الحماية بشكل صحيح لمنع سوء الاستخدام والهجمات.
في ضوء هذه الاتجاهات، ليس من المستغرب إذن أن تقوم شركة Salt Security مؤخرًا بالإبلاغ عن أ زيادة بنسبة 400% في هجمات واجهة برمجة التطبيقات في الأشهر القليلة التي تسبق ديسمبر 2022. ولسوء الحظ، فإن ضمان تأمين واجهات برمجة التطبيقات بآليات المصادقة ليس كافيا لردع الجهات الفاعلة السيئة. تشير البيانات إلى أن 78% من هذه الهجمات جاءت من مستخدمين شرعيين على ما يبدو والذين تمكنوا بطريقة ما من تحقيق المصادقة المناسبة بشكل ضار.
وعلى مستوى أكثر تفصيلاً، واجه 94% من المشاركين في التقرير مشكلة أمنية تتعلق بواجهات برمجة التطبيقات الخاصة بالإنتاج في العام الماضي. أشار 41% من المشاركين إلى وجود نقاط ضعف، وأشار 40% إلى أن لديهم مشكلات في المصادقة. بالإضافة إلى ذلك، تعرض 31% منهم لتعرض بيانات حساسة أو لحادث يتعلق بالخصوصية – ويبلغ متوسط تكلفة اختراق البيانات حاليًا 4.45 مليون دولار، وهذا يشكل مخاطر مالية كبيرة. وعلى نحو متصل، واجه 17% من المشاركين خرقًا أمنيًا عبر إحدى واجهات برمجة التطبيقات الخاصة بهم.
أمان API متخلف
في حين أن أمان واجهة برمجة التطبيقات (API) أصبح بشكل متزايد أمرًا ضروريًا لفرق القيادة – أشار تقرير Salt إلى أن ما لا يقل عن 48٪ من فرق C-suite يتحدثون عنه – فلا يزال هناك طريق طويل لنقطعه قبل أن يصبح أولوية للجميع. لا تزال فرق الأمان تواجه عددًا من المخاوف عندما يتعلق الأمر بأمان واجهة برمجة التطبيقات (APIs) الخاصة بها، والتي تتضمن واجهات برمجة التطبيقات (APIs) القديمة أو الميتة، وتحديات التوثيق (وهي شائعة نظرًا للمعدل الثابت للتغيير في تجربة واجهات برمجة التطبيقات)، واستخراج البيانات، والاستيلاء على الحساب أو إساءة استخدامه.
الحقيقة هي أن معظم استراتيجيات أمان واجهة برمجة التطبيقات (API) لا تزال في مهدها. تمكن 12% فقط من المشاركين في Salt Security من القول بأن لديهم استراتيجيات أمنية متقدمة مطبقة، بما في ذلك اختبار واجهة برمجة التطبيقات (API) والحماية أثناء التشغيل. وفي الوقت نفسه، اعترف 30% بعدم وجود استراتيجية حالية لواجهة برمجة التطبيقات (API)، على الرغم من أن لديهم واجهات برمجة تطبيقات قيد التشغيل في الإنتاج.
الخطوات التالية مع أمان واجهة برمجة التطبيقات (API).
ومع الاعتماد على واجهات برمجة التطبيقات (APIs) بأعلى مستوياتها على الإطلاق واعتماد نتائج الأعمال المهمة عليها، فمن الضروري جدًا أن تقوم المؤسسات ببناء وتنفيذ إستراتيجية أمان قوية لواجهة برمجة التطبيقات (API). يجب أن تتضمن هذه الإستراتيجية خطوات للحصول على وثائق قوية ومحدثة، ورؤية واضحة لمخزون واجهة برمجة التطبيقات بالكامل، وتصميم وتطوير آمن لواجهة برمجة التطبيقات، واختبار الأمان الذي يأخذ في الاعتبار الفجوات في منطق الأعمال. بالنسبة لواجهات برمجة التطبيقات قيد الإنتاج، يجب أن تكون هناك مراقبة وتسجيل مستمرين، وأدوات وساطة مثل بوابات واجهة برمجة التطبيقات لتحسين الرؤية والأمان، والقدرة على تحديد وتسجيل انحراف واجهة برمجة التطبيقات، ونشر الحماية في وقت التشغيل، على سبيل المثال لا الحصر.
مع استمرار الشركات في الاستفادة من قوة واجهات برمجة التطبيقات، تقع على عاتقها مسؤولية اعتماد ونشر استراتيجية أمان قوية لواجهة برمجة التطبيقات. عندها فقط ستتمكن الشركات من تقليل احتمالات التهديد لواجهات برمجة التطبيقات ومواجهة توقعات جارتنر.