Изображение: recraft
Компания Servicepipe, российский разработчик решений для анализа и фильтрации нежелательного трафика, установила, что в 2025 году до 25% вредоносного API-трафика приходилось на shadow и forgotten API — устаревшие, тестовые или забытые интерфейсы, которые продолжают работать, но выпали из поля зрения службы кибербезопасности. Детальное исследование охватило трафик 500 приложений.
«Активное применение ИИ в разработке API усиливает проблему, — указывает директор по продуктам Servicepipe Михаил Хлебунов. — Команды генерируют с его помощью всё больше кода, в том числе API, о которых потом просто забывают”. Дополнительным фактором риска для API-приложений, которые развиваются много лет, остаётся legacy code, то есть старый код, который перешёл в текущий проект “по наследству” от предыдущих разработчиков, — продолжил эксперт. В нём сложно разбираться и сложно поддерживать в рабочем состоянии. Наиболее критичным этот фактор становится для компаний, в которых слабо обеспечена информационная безопасность, резюмировал Михаил Хлебунов.
Ситуацию осложняет сокращение цикла обновления приложений: если раньше они выходили максимум раз в месяц, то теперь обновления могут выпускаться раз в несколько дней.
«Бизнес получает нужную функциональность в установленный срок, но порой это достигается за счет компромиссов в обеспечении информационной безопасности, так как в итоге непротестированные API уходят в работу, — указывает Михаил Хлебунов. — Кроме того, забытый API, как правило, означает, что он не задокументирован или его документация давно устарела».
Забытые API могут предоставлять непредусмотренный доступ к данным или функциям систем, создавая бэкдоры. Именно через них атакующие обходят базовые средства защиты, действуя под легитимными учётными данными и оставаясь незаметными для классических средств защиты WAF и SIEM. Особенно опасны уязвимости типа BOLA и IDOR, когда злоумышленник может получить доступ к чужим данным, изменив номер счёта или ID пользователя в запросе.
«В 2026 году ключевой задачей для бизнеса станет не только защита “боевых” API, но и полное картирование всей API-поверхности, включая забытые, теневые и автоматически создаваемые интерфейсы, особенно в средах с AI-агентами и сложной интеграционной логикой, — указал Михаил Хлебунов. — Бизнесу необходимо уже сейчас задуматься о внедрении процессов мониторинга и инвентаризации API, использовать решения для выявления неиспользуемых интерфейсов, а также обучать команды разработчиков и DevOps отслеживать старые интерфейсы и реагировать на их уязвимости».
Оригинал публикации на сайте CISOCLUB: "Лаборатория Servicepipe выявила - каждый четвертый вредоносный запрос к API приходится на забытые интерфейсы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.