Tvrtka za kibernetsku sigurnost Salt Security sastavila je novo izvješće usredotočeno na sigurnost API-ja (aplikacijsko programsklo sučelje). Stručnjaci su već dugo zabrinuti zbog sigurnosnih rizika povezanih s širokom uporabom API-ja, a Gartner je u izvješću napisao da će do 2022. zlouporaba API-ja postati najčešći napad sigurnosnih timova. U studiji iz 2019. Gartner je otkrio da će 40% web-omogućenih aplikacija imati više površine za napad u obliku izloženih API-ja, a ne korisničkog sučelja, te je predvidio da će ta brojka porasti na 90% do 2021. godine.
Salt Security "Stanje sigurnosti API-ja - Q1 2021" potvrđuje mnoge od tih strahova, otkrivajući da je od gotovo 200 anketiranih službenika sigurnosnih poduzeća njih 91% doživjelo API sigurnosni incident prošle godine.
Unutar Saltovih vlastitih podataka o kupcima, istraživači su otkrili da se 56% kupaca suočilo između 10 i 55 napada mjesečno.
Pružanje korisničkog iskustva za sada normalno
Povjerenje je kritična komponenta svih odnosa s kupcima. Ali kako graditi odnose, temeljene na povjerenju, koji nadilaze stvaranje sigurnog okruženja?
"Kako su API-ji rasli u volumenu i funkcionalnosti, postajali su sve privlačniji ciljevi za hakere, povećavajući broj i sofisticiranost API napada".rekao je Roey Eliyahu, izvršni direktor i suosnivač Salt Securitya.
Studija sadrži uvide prikupljene iz ankete oko 200 CIO-a ili ljudi koji su uključeni u cyber-sigurnost, kao i anonimne podatke kupaca Salt Security-a.
Općenito, Salt je otkrio da je prošle godine ukupan prosječni mjesečni broj API poziva po kupcu porastao s 272 milijuna mjesečno na 410 milijuna do kraja 2020., uglavnom zahvaljujući nekoj kombinaciji novih funkcija u postojećim API-jevima, novim API završnim točkama i novi API-ji.
No, s tim povećanjem poziva uslijedio je i odgovarajući porast zlonamjernog prometa usmjerenog na API-je, a Salt Security mjeri 211% porast zlonamjernog prometa u 2020. Iako je mali, postotak zlonamjernog prometa prešao je s 0,45% API-jevog prometa svih kupaca na 1,40%.
"Velika većina organizacija ima API sigurnosnih problema, malo ih ima alata potrebnih za rješavanje, a većina je zbog toga morala odgoditi inovacije", napisali su istraživači Salt Securitya u studiji.
Nedostatak sigurnosne strategije
Uznemirujuće je istraživanje pokazalo da više od 25% organizacija koje pokreću proizvodne API-je uopće nemaju API sigurnosnu strategiju. Ovi API-ji za proizvodnju posebno su zabrinjavali s obzirom na to da je više od polovice svih ispitanika konkretno pronašlo ranjivost u njima, a izvještaj napominje da se takve sigurnosne praznine često ostavljaju sve dok napadač ne pokuša izbaciti podatke i zloupotrijebiti račune.
Zabrinutost zbog API-ja također je razlog zašto su organizacije odgodile postavljanje novih aplikacija, prema 66% ispitanika. Sigurnost API-ja glavna je briga gotovo polovice svih ispitanika.
Tijekom posljednjih 12 mjeseci 54% ispitanika reklo je da su pronašli ranjivosti u proizvodnim API-ima, a drugih 48% reklo je da ima problema s autentifikacijom. Drugi su naveli probleme s botovima, struganjem i uskraćivanjem usluge.