Количество кибератак через уязвимости в API, то есть наборе правил, с помощью которых осуществляется взаимодействие приложений, увеличилось на 630% в 2024 году. Эксперты «Информзащиты» отмечают, что компании стремятся создать наиболее комфортные условия пользования их сайтом или приложением, из-за чего пренебрегают безопасностью.
По данным интегратора, около 60% приложений компаний имеют уязвимости в API. Злоумышленники могут использовать такие бреши в защите организации для реализации разных типов атак. Самый распространённый: атака на цепочки поставок через API, когда преступники, например, атакуют сайт курьерской службы, чтобы получить доступ к чувствительной информации производителя продукции.
«Бизнес стремится привлечь клиентов за счёт создания наиболее удобных условий пользования их сайтами и приложениями. Во многом это обеспечивается за счёт API, который позволяет эффективно взаимодействовать разным программам для создания комфортного пользовательского опыта. Но в погоне за эффективностью и скоростью компании зачастую пренебрегают безопасностью, из-за чего и возникают критические уязвимости. Сегодня появляется всё больше приложений, а, следовательно, и больше API-уязвимостей», — говорит руководитель направления анализа защищенности Центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» Анатолий Песковский.
Наиболее подвержены атакам через API, отмечают в «Информзащите», компании в сфере услуг, обладающие экосистемами связанных между собой программ, также известными как мегаприложения, в которых пользователи, например, имеют доступ к доставке еды, такси и маркетплейсу одновременно. На такие организации приходится порядка 78% от всех атак через API.
Специалисты интегратора рекомендуют компаниям, обладающим мегаприложениями, уделять больше внимания безопасности на всех этапах разработки и интеграции API. Это включает в себя регулярное тестирование на уязвимости, внедрение строгой аутентификации и авторизации, а также ограничение прав доступа между системами.
«В целом, проблема уязвимостей в API требует комплексного подхода, включающего как технические меры, так и изменения в корпоративной культуре, чтобы безопасность стала приоритетом наравне с функциональностью и удобством», — подчеркивает Песковский
Оригинал публикации на сайте CISOCLUB: "Атак через API стало на 630% больше".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.