Компания Imperva опубликовала отчет "Количественная оценка стоимости отсутствия безопасности API", в котором проанализировано почти 117 000 инцидентов безопасности. Установлено, что отсутствие безопасности API обходится организациям в $41-75 млрд. ежегодно. Крупные организации имеют более высокий риск взлома, связанного с API, причем у предприятий с доходом более $100 млрд вероятность нарушения безопасности API в три-четыре раза выше, чем у малых и средних компаний. Прежде всего, в отчете подчеркивается, что отсутствие приоритетности API является дорогостоящей ошибкой, особенно когда так много небезопасных API подключены непосредственно к внутренним базам данных, где конфиденциальные данные уязвимы для доступа и утечки. Почему предприятия так ошибаются в обеспечении безопасности API? В организациях постоянно возникают проблемы с обеспечением безопасности API: за последние 12 месяцев 95% организаций пострадали от инцидентов, связанных с безопасностью API, а 34% признались, что у них отсутствует какая-либо стратегия безопасности API, несмотря на то что API используются в производстве. "Многие организации не в состоянии защитить свои API, потому что это требует равного участия команд безопасности и разработки", - говорит Лебин Ченг, вице-президент по безопасности API в Imperva. Исторически сложилось так, что эти группы враждуют между собой - безопасность является партией "нет", а devops безответственны и двигаются слишком быстро". "Чтобы решить эти проблемы, руководители служб безопасности должны дать разработчикам приложений возможность создавать безопасный код, используя легковесные и эффективно работающие технологии", - добавил Ченг. По мнению Ченга, любые решения, которые внедряют команды безопасности, должны включать в себя обнаружение API и классификацию данных.SecurityLab.ru