CarderPlanet
Professional
Введение
В современной взаимосвязанной цифровой экосистеме интерфейсы прикладного программирования (API) играют ключевую роль в обеспечении бесперебойной связи и обмена данными между различными программными приложениями и системами. API действуют как мосты, облегчая обмен информацией и функциональными возможностями. Однако, поскольку использование API продолжает расти, они становятся все более привлекательной мишенью для киберпреступников и представляют значительный риск для кибербезопасности в различных отраслях. В этой статье мы погружаемся в мир API, исследуя, почему они создают существенные проблемы кибербезопасности, и приводя реальные примеры взломов API в разных секторах.
Революция API
Распространение облачных вычислений, мобильных приложений и Интернета вещей (IoT) ускорило внедрение API. Они служат строительными блоками современных программных приложений, позволяя разработчикам интегрировать сторонние сервисы, расширять функциональные возможности и быстро создавать инновационные решения. От расширенных медицинских услуг до электронной коммерции, API стали неотъемлемой частью нашей цифровой жизни.
Почему API представляют собой угрозу кибербезопасности
Что касается API, то самой уязвимой уязвимостью, на которую ссылается Open Web Application Security Project (OWASP), теперь является BOLA, или нарушенная авторизация на уровне объекта. Этот недостаток может позволить злоумышленникам манипулировать идентификатором объекта в запросе API, фактически позволяя непривилегированным пользователям читать или удалять данные другого пользователя. Это атака особенно высокого риска, учитывая, что для ее выполнения не требуется каких-либо технических навыков, а вторжения напоминают обычный трафик для большинства систем безопасности.
Логика обнаружения должна различать соединения "1 к 1" и "1 ко многим" между ресурсами и пользователями. Атаки BOLA после событий трудно заметить из-за их малого объема, и они не демонстрируют явных признаков каких-либо поведенческих аномалий, таких как внедрение или отказ в обслуживании.
Отчеты за 2023 год показывают, что число кибератак, нацеленных на API, выросло на 137%, при этом основными целями злоумышленников считаются здравоохранение и производство. Злоумышленников особенно интересует недавний приток новых устройств в рамках Интернета медицинских вещей и связанных с ним приложений и экосистемы API, которые способствовали предоставлению более доступного ухода за пациентами и услуг. Другой отраслью, которая также уязвима, является производство, в котором наблюдается рост числа устройств и систем Интернета вещей, что привело к увеличению числа медиа-атак на 76% в 2022 году.
Однако, согласно недавнему отчету о состоянии безопасности API 2023, ниже приведен список основных проблем безопасности API для групп безопасности:
Распространение API во всех отраслях
Бурное развитие API во всех отраслях обусловлено их беспрецедентной способностью улучшать возможности подключения, оптимизировать операции и внедрять инновации. Организации используют API для обеспечения совместимости, ускорения циклов разработки и предоставления улучшенного пользовательского опыта. От платформ электронной коммерции, интегрирующих платежные шлюзы, до систем здравоохранения, обеспечивающих безопасный обмен данными о пациентах, API позволяют организациям использовать сильные стороны специализированных сервисов и технологий без необходимости изобретать велосипед.
Модульность и расширяемость, предлагаемые API, позволяют разработчикам использовать существующие функциональные возможности, быстро создавать новые приложения и адаптироваться к меняющимся требованиям рынка. Поскольку отрасли продолжают внедрять цифровую трансформацию, API играют ключевую роль в повышении эффективности, гибкости и конкурентоспособности, способствуя созданию динамичной экосистемы взаимосвязанных технологий.
Вот несколько примеров того, как основные отрасли используют API и риски, связанные с ненадлежащей защитой API.
Здравоохранение
Учреждения здравоохранения все чаще используют возможности API для революционизации ухода за пациентами и повышения операционной эффективности. API служат каналом бесперебойного обмена данными между различными системами здравоохранения, обеспечивая взаимодействие между платформами электронных медицинских записей (EHR), медицинскими устройствами и порталами пациентов. Эти API облегчают безопасный и стандартизированный обмен информацией о пациентах, позволяя медицинским работникам получать доступ к важнейшим данным на месте оказания медицинской помощи.
Более того, API стимулируют инновации в телемедицине и удаленном мониторинге пациентов, обеспечивая связь в режиме реального времени между пациентами и практикующими врачами с помощью мобильных приложений и носимых устройств. Используя API, учреждения здравоохранения не только оптимизируют клинические рабочие процессы и снижают административную нагрузку, но и улучшают вовлеченность пациентов и результаты. Использование API в здравоохранении способствует созданию более взаимосвязанной экосистемы, управляемой данными, что в конечном итоге меняет способ предоставления медицинских услуг и их восприятие.
Согласно некоторым исследованиям, отсутствие API безопасности может привести к среднегодовым потерям в киберпространстве, связанным с API, на сумму от 12 до 23 миллиардов долларов в США и где-то от 41 до 75 миллиардов долларов во всем мире.
Хотя API предлагают значительные преимущества для отрасли здравоохранения, они также влекут за собой потенциальные риски. Неадекватный контроль безопасности в реализациях API может привести к несанкционированному доступу к конфиденциальным данным пациентов, подвергая людей нарушениям конфиденциальности и краже личных данных. Чтобы снизить эти риски, учреждения здравоохранения должны уделять приоритетное внимание надежным мерам безопасности API, включая шифрование, надежную аутентификацию, регулярные оценки уязвимостей и соблюдение отраслевых нормативных актов, таких как HIPAA.
Нарушение API Quest Diagnostics: сторонний API стал результатом одной из крупнейших утечек данных, с которой столкнулся ведущий поставщик клинических лабораторных услуг в Соединенных Штатах Quest Diagnostics. Злоумышленники воспользовались уязвимостью на странице веб-платежей этой третьей стороны, которая была доступна через открытый API, получив несанкционированный доступ к медицинской информации примерно 11,9 миллионов пациентов.
Учреждения, предоставляющие финансовые услуги
Финансовые учреждения используют API для революционизирования своих услуг и качества обслуживания клиентов. API стали основой современных финансовых систем, обеспечивая бесшовную интеграцию между различными банковскими функциями, сторонними приложениями и цифровыми сервисами. С помощью API эти учреждения могут предлагать клиентам доступ в режиме реального времени к информации об учетной записи, истории транзакций и персонализированной финансовой информации. API также обеспечивают безопасную обработку платежей, позволяя интегрировать мобильные кошельки и сторонние платежные шлюзы.
Более того, финансовые учреждения внедряют инициативы открытого банковского обслуживания, позволяющие клиентам безопасно обмениваться своими финансовыми данными с авторизованными сторонними приложениями через стандартизированные API. Такой подход способствует инновациям, позволяя финтех-компаниям разрабатывать индивидуальные решения, такие как приложения для составления бюджета, инвестиционные платформы и услуги кредитования. С помощью API финансовые учреждения не только повышают операционную эффективность, но и трансформируют способы взаимодействия клиентов со своими финансовыми делами и управления ими, создавая более динамичный и взаимосвязанный финансовый ландшафт.
Злоумышленники с API, нацеленные на финансовые услуги и страховые API, становятся все более активными, и в 2022 году количество уникальных атак увеличилось на 244%. Кроме того, за последний год многие финансовые учреждения столкнулись со значительными проблемами безопасности в производственных API, и почти каждое пятое столкнулось с нарушением безопасности API.
В связи с этим 3 октября 2022 года FFIEC объявила о значительном обновлении своего руководства по ресурсам кибербезопасности 2018 года для финансовых учреждений. Добавление безопасности API в качестве важного компонента в перечень информационных систем организации и инициатив по управлению рисками.Это важный шаг в направлении возможных нормативных требований, включая безопасность API.
Нарушение финансового API Latitude: Базирующаяся в Мельбурне компания, предоставляющая личные займы и кредитные карты в Австралии, подверглась серьезному нарушению, которое произошло в марте 2023 года, в результате чего было скомпрометировано более 14 миллионов записей. Было украдено почти 8 миллионов водительских удостоверений, а также 53 000 паспортных номеров и десятки ежемесячных финансовых отчетов. Наиболее тревожным аспектом взлома является то, что Latitude Financial первоначально сообщила, что пострадали только 300 000 человек, что свидетельствует о непонимании атаки.
Технология
Технологические компании находятся на переднем крае использования API для создания инновационных и взаимосвязанных решений, которые управляют цифровой экономикой. Эти компании используют API для множества целей, включая улучшение пользовательского опыта, расширение функциональных возможностей продукта и сотрудничество с внешними разработчиками. Такая быстрая разработка и интеграция API может привести к упущениям в области безопасности.
Технологические компании часто управляют многочисленными API из разных источников, и обеспечение единообразия методов обеспечения безопасности во всех из них может быть непростой задачей. Ошибка в одном API может открыть путь к уязвимостям, которые злоумышленники могут использовать для компрометации более широкой сети. Например, интеграция сторонних API может подвергнуть технологические компании рискам, находящимся вне их контроля. Если скомпрометирован сторонний API, это может повлиять на безопасность интегрированного приложения, как это было показано во взломе Facebook в 2018 году, когда уязвимость стороннего приложения раскрыла пользовательские данные.
Однако растущая зависимость от API создает значительные киберриски для технологических компаний, поскольку API часто передают конфиденциальную информацию между системами. Любые уязвимости в безопасности API могут быть использованы для получения несанкционированного доступа к пользовательским данным или базам данных компании, а неадекватные механизмы аутентификации и авторизации могут подвергнуть API атакам, таким как несанкционированный поиск данных или манипулирование ими.
Нарушение API Dropbox: 1 ноября 2022 года хакеры смогли получить доступ к внутренним хранилищам кода Dropbox на GitHub. Это позволило хакерам получить доступ к 130 внутренним хранилищам кода, некоторые из которых содержат ключи API и пользовательские данные. Хакеры отправили электронное письмо, эмулирующее CircleCI, популярный конвейер для CI / CD, для своей фишинг-атаки. Затем пользователи попадали на поддельную страницу CircleCI, где им предлагалось ввести свои учетные данные на GitHub. Затем им отправляли одноразовый пароль, который их просили ввести.
К счастью, похоже, что при взломе API DropBox доступ к пользовательским данным не был получен. Хакеры были ограничены загрузкой репозиториев кода GitHub, что является плохой новостью для них, но лучшей новостью для пользователей DropBox.
Розничная торговля
Сегодня розничные торговцы осуществляют более половины своего бизнеса онлайн и используют API для революционизирования своих операций и улучшения качества покупок для клиентов. Эта отрасль использует API для беспрепятственного подключения своих онлайн-систем и систем магазинов, интеграции сторонних сервисов и оптимизации различных аспектов своих бизнес-процессов. Для компаний розничной торговли API облегчают управление запасами в режиме реального времени в нескольких местах, позволяя покупателям проверять наличие товаров онлайн перед посещением физического магазина. Кроме того, API обеспечивают персонализированные рекомендации, позволяя розничным торговцам предлагать продукты на основе предпочтений клиентов и истории посещенных страниц, тем самым расширяя возможности перекрестных продаж и расширения ассортимента.
Сегодня в большинстве секторов розничной торговли API играют жизненно важную роль в оптимизации процессов заказа и доставки. Мобильные приложения и веб-сайты часто интегрируются с системами торговых точек через API, позволяя клиентам размещать заказы удаленно и получать точные обновления статуса своих заказов. Сторонние интеграции, хотя и расширяют функциональность, создают дополнительный уровень риска, если доступны API, подключающиеся к сторонним сервисам.
Нарушение API Peloton: в мае 2021 года исследователь безопасности обнаружил, что он мог отправлять неаутентифицированные запросы к API-интерфейсам Peloton, которые использовались соответствующим оборудованием для занятий спортом и службами подписки. Можно напрямую обращаться к конечным точкам API Peloton и получать значительные объемы личных данных, что влияет на конфиденциальность клиентов Peloton. Веб-и мобильные приложения Peloton, созданные в качестве дополнения к тренажерам Peloton, использовали эти внутренние API для предоставления статистики тренировок и расписания занятий. Peloton в конечном итоге устранила проблемы с API, но неясно, скольким клиентам Peloton могла быть раскрыта их личная информация.
Заключение
API изменили способ взаимодействия и функционирования программных приложений, предлагая эффективность и инновации во всех отраслях. Однако их широкое использование также привело к возникновению новых и сложных проблем кибербезопасности. Возможность несанкционированного доступа к данным, нарушения работы сервисов и компрометации целых систем делает API главной мишенью для киберпреступников. Как видно из приведенных выше примеров, неадекватные средства контроля безопасности API могут привести к значительным нарушениям с далеко идущими последствиями.
Чтобы снизить риски, создаваемые API, организации должны уделять приоритетное внимание надежным мерам безопасности. Это включает внедрение надежных механизмов аутентификации и авторизации, регулярное обновление и исправление API, шифрование конфиденциальных данных во время передачи и проведение тщательных оценок безопасности, таких как тестирование на проникновение и обзоры кода. Кроме того, организациям следует разработать комплексные протоколы безопасности для интеграции сторонних API и обеспечить постоянный мониторинг для обнаружения потенциальных угроз и реагирования на них.
Лучшие практики и меры по их снижению
BreachLock рекомендует организациям серьезно рассмотреть возможность обновления своих методов обеспечения безопасности API, которые должны включать следующее:
О BreachLock
BreachLock - мировой лидер в области PTaaS и сервиса тестирования на проникновение. BreachLock предлагает автоматизированные решения с поддержкой искусственного интеллекта, созданные человеком на одной интегрированной платформе, основанной на стандартизированной встроенной платформе, которая обеспечивает последовательные и регулярные тесты методов атаки, средств контроля безопасности и процессов. Создавая стандартизированную структуру, BreachLock может каждый раз обеспечивать повышенную предсказуемость, согласованность и точные результаты в режиме реального времени.
В современной взаимосвязанной цифровой экосистеме интерфейсы прикладного программирования (API) играют ключевую роль в обеспечении бесперебойной связи и обмена данными между различными программными приложениями и системами. API действуют как мосты, облегчая обмен информацией и функциональными возможностями. Однако, поскольку использование API продолжает расти, они становятся все более привлекательной мишенью для киберпреступников и представляют значительный риск для кибербезопасности в различных отраслях. В этой статье мы погружаемся в мир API, исследуя, почему они создают существенные проблемы кибербезопасности, и приводя реальные примеры взломов API в разных секторах.
Революция API
Распространение облачных вычислений, мобильных приложений и Интернета вещей (IoT) ускорило внедрение API. Они служат строительными блоками современных программных приложений, позволяя разработчикам интегрировать сторонние сервисы, расширять функциональные возможности и быстро создавать инновационные решения. От расширенных медицинских услуг до электронной коммерции, API стали неотъемлемой частью нашей цифровой жизни.
Почему API представляют собой угрозу кибербезопасности
Что касается API, то самой уязвимой уязвимостью, на которую ссылается Open Web Application Security Project (OWASP), теперь является BOLA, или нарушенная авторизация на уровне объекта. Этот недостаток может позволить злоумышленникам манипулировать идентификатором объекта в запросе API, фактически позволяя непривилегированным пользователям читать или удалять данные другого пользователя. Это атака особенно высокого риска, учитывая, что для ее выполнения не требуется каких-либо технических навыков, а вторжения напоминают обычный трафик для большинства систем безопасности.
Логика обнаружения должна различать соединения "1 к 1" и "1 ко многим" между ресурсами и пользователями. Атаки BOLA после событий трудно заметить из-за их малого объема, и они не демонстрируют явных признаков каких-либо поведенческих аномалий, таких как внедрение или отказ в обслуживании.
Отчеты за 2023 год показывают, что число кибератак, нацеленных на API, выросло на 137%, при этом основными целями злоумышленников считаются здравоохранение и производство. Злоумышленников особенно интересует недавний приток новых устройств в рамках Интернета медицинских вещей и связанных с ним приложений и экосистемы API, которые способствовали предоставлению более доступного ухода за пациентами и услуг. Другой отраслью, которая также уязвима, является производство, в котором наблюдается рост числа устройств и систем Интернета вещей, что привело к увеличению числа медиа-атак на 76% в 2022 году.
Однако, согласно недавнему отчету о состоянии безопасности API 2023, ниже приведен список основных проблем безопасности API для групп безопасности:
- Zombie API - Старые, устаревшие API, известные как Zombie API, фигурировали в верхней части списка проблем безопасности API во многих отчетах за 2023 год
- DDoS - атаки типа "отказ в обслуживании" (DDoS) с целью перегрузки веб-сайта, сервера или сети
- Обход аутентификации - захват / неправильное использование учетной записи
- Утечка данных - случайное раскрытие конфиденциальных данных
- Утечка данных – непреднамеренное раскрытие данных, которые были преднамеренно украдены
- Теневые API - недокументированные API "черного хода" (например, неизвестные или теневые API)
Распространение API во всех отраслях
Бурное развитие API во всех отраслях обусловлено их беспрецедентной способностью улучшать возможности подключения, оптимизировать операции и внедрять инновации. Организации используют API для обеспечения совместимости, ускорения циклов разработки и предоставления улучшенного пользовательского опыта. От платформ электронной коммерции, интегрирующих платежные шлюзы, до систем здравоохранения, обеспечивающих безопасный обмен данными о пациентах, API позволяют организациям использовать сильные стороны специализированных сервисов и технологий без необходимости изобретать велосипед.
Модульность и расширяемость, предлагаемые API, позволяют разработчикам использовать существующие функциональные возможности, быстро создавать новые приложения и адаптироваться к меняющимся требованиям рынка. Поскольку отрасли продолжают внедрять цифровую трансформацию, API играют ключевую роль в повышении эффективности, гибкости и конкурентоспособности, способствуя созданию динамичной экосистемы взаимосвязанных технологий.
Вот несколько примеров того, как основные отрасли используют API и риски, связанные с ненадлежащей защитой API.
Здравоохранение
Учреждения здравоохранения все чаще используют возможности API для революционизации ухода за пациентами и повышения операционной эффективности. API служат каналом бесперебойного обмена данными между различными системами здравоохранения, обеспечивая взаимодействие между платформами электронных медицинских записей (EHR), медицинскими устройствами и порталами пациентов. Эти API облегчают безопасный и стандартизированный обмен информацией о пациентах, позволяя медицинским работникам получать доступ к важнейшим данным на месте оказания медицинской помощи.
Более того, API стимулируют инновации в телемедицине и удаленном мониторинге пациентов, обеспечивая связь в режиме реального времени между пациентами и практикующими врачами с помощью мобильных приложений и носимых устройств. Используя API, учреждения здравоохранения не только оптимизируют клинические рабочие процессы и снижают административную нагрузку, но и улучшают вовлеченность пациентов и результаты. Использование API в здравоохранении способствует созданию более взаимосвязанной экосистемы, управляемой данными, что в конечном итоге меняет способ предоставления медицинских услуг и их восприятие.
Согласно некоторым исследованиям, отсутствие API безопасности может привести к среднегодовым потерям в киберпространстве, связанным с API, на сумму от 12 до 23 миллиардов долларов в США и где-то от 41 до 75 миллиардов долларов во всем мире.
Хотя API предлагают значительные преимущества для отрасли здравоохранения, они также влекут за собой потенциальные риски. Неадекватный контроль безопасности в реализациях API может привести к несанкционированному доступу к конфиденциальным данным пациентов, подвергая людей нарушениям конфиденциальности и краже личных данных. Чтобы снизить эти риски, учреждения здравоохранения должны уделять приоритетное внимание надежным мерам безопасности API, включая шифрование, надежную аутентификацию, регулярные оценки уязвимостей и соблюдение отраслевых нормативных актов, таких как HIPAA.
Нарушение API Quest Diagnostics: сторонний API стал результатом одной из крупнейших утечек данных, с которой столкнулся ведущий поставщик клинических лабораторных услуг в Соединенных Штатах Quest Diagnostics. Злоумышленники воспользовались уязвимостью на странице веб-платежей этой третьей стороны, которая была доступна через открытый API, получив несанкционированный доступ к медицинской информации примерно 11,9 миллионов пациентов.
Учреждения, предоставляющие финансовые услуги
Финансовые учреждения используют API для революционизирования своих услуг и качества обслуживания клиентов. API стали основой современных финансовых систем, обеспечивая бесшовную интеграцию между различными банковскими функциями, сторонними приложениями и цифровыми сервисами. С помощью API эти учреждения могут предлагать клиентам доступ в режиме реального времени к информации об учетной записи, истории транзакций и персонализированной финансовой информации. API также обеспечивают безопасную обработку платежей, позволяя интегрировать мобильные кошельки и сторонние платежные шлюзы.
Более того, финансовые учреждения внедряют инициативы открытого банковского обслуживания, позволяющие клиентам безопасно обмениваться своими финансовыми данными с авторизованными сторонними приложениями через стандартизированные API. Такой подход способствует инновациям, позволяя финтех-компаниям разрабатывать индивидуальные решения, такие как приложения для составления бюджета, инвестиционные платформы и услуги кредитования. С помощью API финансовые учреждения не только повышают операционную эффективность, но и трансформируют способы взаимодействия клиентов со своими финансовыми делами и управления ими, создавая более динамичный и взаимосвязанный финансовый ландшафт.
Злоумышленники с API, нацеленные на финансовые услуги и страховые API, становятся все более активными, и в 2022 году количество уникальных атак увеличилось на 244%. Кроме того, за последний год многие финансовые учреждения столкнулись со значительными проблемами безопасности в производственных API, и почти каждое пятое столкнулось с нарушением безопасности API.
В связи с этим 3 октября 2022 года FFIEC объявила о значительном обновлении своего руководства по ресурсам кибербезопасности 2018 года для финансовых учреждений. Добавление безопасности API в качестве важного компонента в перечень информационных систем организации и инициатив по управлению рисками.Это важный шаг в направлении возможных нормативных требований, включая безопасность API.
Нарушение финансового API Latitude: Базирующаяся в Мельбурне компания, предоставляющая личные займы и кредитные карты в Австралии, подверглась серьезному нарушению, которое произошло в марте 2023 года, в результате чего было скомпрометировано более 14 миллионов записей. Было украдено почти 8 миллионов водительских удостоверений, а также 53 000 паспортных номеров и десятки ежемесячных финансовых отчетов. Наиболее тревожным аспектом взлома является то, что Latitude Financial первоначально сообщила, что пострадали только 300 000 человек, что свидетельствует о непонимании атаки.
Технология
Технологические компании находятся на переднем крае использования API для создания инновационных и взаимосвязанных решений, которые управляют цифровой экономикой. Эти компании используют API для множества целей, включая улучшение пользовательского опыта, расширение функциональных возможностей продукта и сотрудничество с внешними разработчиками. Такая быстрая разработка и интеграция API может привести к упущениям в области безопасности.
Технологические компании часто управляют многочисленными API из разных источников, и обеспечение единообразия методов обеспечения безопасности во всех из них может быть непростой задачей. Ошибка в одном API может открыть путь к уязвимостям, которые злоумышленники могут использовать для компрометации более широкой сети. Например, интеграция сторонних API может подвергнуть технологические компании рискам, находящимся вне их контроля. Если скомпрометирован сторонний API, это может повлиять на безопасность интегрированного приложения, как это было показано во взломе Facebook в 2018 году, когда уязвимость стороннего приложения раскрыла пользовательские данные.
Однако растущая зависимость от API создает значительные киберриски для технологических компаний, поскольку API часто передают конфиденциальную информацию между системами. Любые уязвимости в безопасности API могут быть использованы для получения несанкционированного доступа к пользовательским данным или базам данных компании, а неадекватные механизмы аутентификации и авторизации могут подвергнуть API атакам, таким как несанкционированный поиск данных или манипулирование ими.
Нарушение API Dropbox: 1 ноября 2022 года хакеры смогли получить доступ к внутренним хранилищам кода Dropbox на GitHub. Это позволило хакерам получить доступ к 130 внутренним хранилищам кода, некоторые из которых содержат ключи API и пользовательские данные. Хакеры отправили электронное письмо, эмулирующее CircleCI, популярный конвейер для CI / CD, для своей фишинг-атаки. Затем пользователи попадали на поддельную страницу CircleCI, где им предлагалось ввести свои учетные данные на GitHub. Затем им отправляли одноразовый пароль, который их просили ввести.
К счастью, похоже, что при взломе API DropBox доступ к пользовательским данным не был получен. Хакеры были ограничены загрузкой репозиториев кода GitHub, что является плохой новостью для них, но лучшей новостью для пользователей DropBox.
Розничная торговля
Сегодня розничные торговцы осуществляют более половины своего бизнеса онлайн и используют API для революционизирования своих операций и улучшения качества покупок для клиентов. Эта отрасль использует API для беспрепятственного подключения своих онлайн-систем и систем магазинов, интеграции сторонних сервисов и оптимизации различных аспектов своих бизнес-процессов. Для компаний розничной торговли API облегчают управление запасами в режиме реального времени в нескольких местах, позволяя покупателям проверять наличие товаров онлайн перед посещением физического магазина. Кроме того, API обеспечивают персонализированные рекомендации, позволяя розничным торговцам предлагать продукты на основе предпочтений клиентов и истории посещенных страниц, тем самым расширяя возможности перекрестных продаж и расширения ассортимента.
Сегодня в большинстве секторов розничной торговли API играют жизненно важную роль в оптимизации процессов заказа и доставки. Мобильные приложения и веб-сайты часто интегрируются с системами торговых точек через API, позволяя клиентам размещать заказы удаленно и получать точные обновления статуса своих заказов. Сторонние интеграции, хотя и расширяют функциональность, создают дополнительный уровень риска, если доступны API, подключающиеся к сторонним сервисам.
Нарушение API Peloton: в мае 2021 года исследователь безопасности обнаружил, что он мог отправлять неаутентифицированные запросы к API-интерфейсам Peloton, которые использовались соответствующим оборудованием для занятий спортом и службами подписки. Можно напрямую обращаться к конечным точкам API Peloton и получать значительные объемы личных данных, что влияет на конфиденциальность клиентов Peloton. Веб-и мобильные приложения Peloton, созданные в качестве дополнения к тренажерам Peloton, использовали эти внутренние API для предоставления статистики тренировок и расписания занятий. Peloton в конечном итоге устранила проблемы с API, но неясно, скольким клиентам Peloton могла быть раскрыта их личная информация.
Заключение
API изменили способ взаимодействия и функционирования программных приложений, предлагая эффективность и инновации во всех отраслях. Однако их широкое использование также привело к возникновению новых и сложных проблем кибербезопасности. Возможность несанкционированного доступа к данным, нарушения работы сервисов и компрометации целых систем делает API главной мишенью для киберпреступников. Как видно из приведенных выше примеров, неадекватные средства контроля безопасности API могут привести к значительным нарушениям с далеко идущими последствиями.
Чтобы снизить риски, создаваемые API, организации должны уделять приоритетное внимание надежным мерам безопасности. Это включает внедрение надежных механизмов аутентификации и авторизации, регулярное обновление и исправление API, шифрование конфиденциальных данных во время передачи и проведение тщательных оценок безопасности, таких как тестирование на проникновение и обзоры кода. Кроме того, организациям следует разработать комплексные протоколы безопасности для интеграции сторонних API и обеспечить постоянный мониторинг для обнаружения потенциальных угроз и реагирования на них.
Лучшие практики и меры по их снижению
BreachLock рекомендует организациям серьезно рассмотреть возможность обновления своих методов обеспечения безопасности API, которые должны включать следующее:
- Управление поверхностью атаки - обнаружение API и инвентаризация с помощью управления поверхностью атаки, сканирование как внутренних, так и внешних поверхностей атаки
- Службы тестирования API на проникновение – регулярные оценки безопасности API для выявления уязвимостей с помощью гибридного тестирования на проникновение с использованием как автоматизированных, так и ручных технологий
- Продолжение автоматического тестирования - предотвращение угроз API посредством непрерывной автоматической проверки безопасности для обеспечения эффективности средств контроля безопасности и отсутствия новых уязвимостей
О BreachLock
BreachLock - мировой лидер в области PTaaS и сервиса тестирования на проникновение. BreachLock предлагает автоматизированные решения с поддержкой искусственного интеллекта, созданные человеком на одной интегрированной платформе, основанной на стандартизированной встроенной платформе, которая обеспечивает последовательные и регулярные тесты методов атаки, средств контроля безопасности и процессов. Создавая стандартизированную структуру, BreachLock может каждый раз обеспечивать повышенную предсказуемость, согласованность и точные результаты в режиме реального времени.
