Разрастание API: к 2030 году будет создано около 1,7 миллиарда активных API

11 марта 2024, 15:33 / Технологии → Новости / Технологии

В современном быстро развивающемся цифровом пространстве распространение интерфейсов прикладного программирования (API) стало поистине взрывным. Согласно свежему прогнозу, к 2030 году будет около 1,7 миллиарда активных API, что открывает беспрецедентные возможности для инноваций и взаимодействия.

API выступают в качестве важнейшего моста между программными приложениями. Они функционируют ниже уровня представления приложений, организуя обмен данными между программными системами. Однако по мере расширения экосистемы API растут и проблемы, в частности появление новых уязвимостей и повышенных рисков раскрытия данных, которыми могут воспользоваться злоумышленники.

Взрывной рост API и последствия для безопасности

Управление API, от их сборки до механизмов безопасности, стало серьезной проблемой, и командам приходится управлять сроками развертывания и вывода из эксплуатации API, а также рисками раскрытия данных, которые они создают.

Одним из существенных препятствий в управлении безопасностью API является отсутствие связи между командами безопасности и разработчиками. Часто экспертам по безопасности не хватает расширенной информации, необходимой для тщательного изучения API, встроенных в приложения, и, если документация по API отсутствует, может быть сложнее управлять как развертыванием, версиями и контролем, так и прекращением использования API.

Недавние отчеты показывают, что от 40 до 50 процентов организаций пострадали от последствий взломов API в прошлом году. Так, например, крупная телекоммуникационная компания в Азиатско-Тихоокеанском регионе стала жертвой нарушения безопасности, в результате которого киберпреступники получили доступ к данным более 10 000 клиентов, включая личную информацию, через незащищенный API с выходом в Интернет. Данные были не просто украдены, но и активно использовались, а некоторые пользователи также получили электронное письмо с требованием заплатить 2000 долларов за удаление их информации.

Риски разрастания API

Подобные инциденты подчеркивают важность управления и защиты API, однако их использование легко впадает в состояние неконтролируемого роста, известное как «разрастание API». Внедрение чрезмерного количества API без надлежащего отслеживания и управления может быстро начать влиять на безопасность.

«Зомби» и «теневые» API являются ключевыми проблемами, увеличивающими риск. Зомби — это устаревшие API, которые остаются в инфраструктуре незамеченными после замены и поэтому не исправляются и не обновляются. Теневые API, то есть те, которые выходят за рамки протоколов видимости и управления организации, также представляют значительный риск. Эти неизведанные API находятся вне поля зрения традиционных решений безопасности, таких как DAST, WAF или шлюзов API, предназначенных для защиты известных элементов. Они создают слепое пятно, которое подвергает организации непредвиденным угрозам безопасности.

Поскольку компании продолжают свой путь к API, решение проблемы «разрастания» становится проблемой, которая должна занять центральное место, чтобы гарантировать, что возможности API используются ответственно и безопасно.

Внутренние и внешние API

Проблемы безопасности, связанные с разрастанием API, включают как внутренние, так и внешние API, каждый из которых представляет свой уникальный набор рисков. Внутренние API, созданные собственными силами для объединения микросервисов и приложений, не застрахованы от атак. Злоумышленники с острым глазом могут обнаружить уязвимости в этих внутренних путях и потенциально использовать их.

Внешние API, предоставляемые сторонними службами, позволяют разработчикам легко интегрировать свои приложения с внешними системами. Однако эта видимость и доступность также делают их главной мишенью для злоумышленников. Нарушение внешнего API может иметь далеко идущие последствия, затрагивая не только одно приложение, но и всю экосистему интегрированных систем.

Это означает, что бдительность имеет первостепенное значение для внешних API. ИТ-отделам и командам безопасности необходимо хорошо понимать, какие API-интерфейсы развернуты в бизнесе, как они работают и взаимодействуют с другими системами. Наличие четкого представления о текущих API и их соединениях гарантирует, что предприятия смогут быстро реагировать на любые инциденты безопасности, независимо от того, связаны ли они с внутренними или внешними API, обеспечивая целостность своей сети и данных.

Защита обширной среды API

Эффективный подход к безопасности API должен начинаться с сосредоточения внимания на коде, генерируемом разработчиками. Благодаря этой стратегии уязвимости, проблемы с конфиденциальностью данных и возможные недостатки в коде API можно легко обнаружить, исследуя код, хранящийся в репозитории. Такой упреждающий подход позволяет командам выявлять проблемы безопасности задолго до того, как API войдут в фазу производства — этап, на котором устранить проблемы проще и дешевле. Наряду с этим разумным курсом действий для организаций является установление политик управления API, определяющих разрешенное использование внутренних и внешних API, а также определение обязательных процедур безопасности для разработчиков. Эти протоколы должны соответствовать рекомендациям, изложенным в руководствах по безопасности OWASP API. Политика управления должна предусматривать использование комплексной документации по использованию API, чтобы помочь в выявлении систем, подверженных потенциальным уязвимостям безопасности API.

Кроме того, важно регулярно отслеживать внешние API на предмет обнаруженных проблем безопасности, и команды должны быть готовы решать проблемы безопасности третьих сторон, как только о них будет сообщено. Это в сочетании с упреждающим и постоянным мониторингом API должно быть реализовано для обнаружения необычных моделей использования, которые могут сигнализировать о вредоносной активности. Эти методы, если их строго применять, позволят предприятиям использовать весь потенциал API, одновременно активно снижая риски, связанные с разрастанием бизнеса.