حملات API در سال ۲۰۲۲ به مهم‌ترین تهدید سایبری تبدیل شدند

چشم انداز تهدیدات سایبری در حال تغییر است.

ما اکنون با نوع جدیدی از تهدید روبرو هستیم که از رابط های برنامه نویسی برنامه (API) به عنوان عامل حمله اولیه استفاده می کند. این حملات پیچیده و مخرب هستند و در حال حاضر در صنایع مختلف گسترش یافته اند.

طبق  گزارشی  از گارتنر، امسال سالی است که API ها به عامل حمله پیشرو برای برنامه های کاربردی وب سازمانی تبدیل خواهند شد. از آنجایی که کسب‌وکارها به انتقال بیشتر عملیات خود به فضای ابری ادامه می‌دهند و داده‌های بیشتری به API منتقل می‌شوند، شاهد افزایش زیادی در حملات مبتنی بر API هستیم.

سازمان‌ها از API ها برای ساخت برنامه‌های کاربردی پیچیده استفاده می‌کنند که به‌عنوان پایه‌ای برای مدل‌های کسب‌وکارشان عمل می‌کنند، زیرا آنها روشی مؤثر برای استفاده از داده‌ها و عملکرد ارائه‌شده توسط برنامه‌ها و خدمات دیجیتال سازمان ارائه می‌دهند.

آنها به دلیل توانایی آنها در ارائه اتصال بین سیستم های متفاوت محبوب تر می شوند. به عنوان مثال، یک API برای یک بانک می تواند به شما امکان دسترسی به اطلاعات حساب خود را از یک برنامه تلفن همراه یا وب سایت بدهد. علاوه بر این، شرکت ها ممکن است از API ها برای فرآیندهای داخلی، مانند مدیریت صورتحساب یا موجودی استفاده کنند.

این فقط در مورد آسان کردن یا سریعتر کردن کار نیست. این در مورد ایجاد فرصت های جدید برای نوآوری و رشد از طریق یکپارچه سازی با دیگر پلتفرم ها یا خدمات خارج از کنترل سازمان است. اما، از آنجایی که شرکت‌ها API را برای خدمت به عنوان هسته مدل‌های کسب‌وکار خود اتخاذ می‌کنند، اغلب جنبه‌ای حیاتی از امنیت API را نادیده می‌گیرند.

مشکل API ها این است که توسط بسیاری از برنامه ها و افراد استفاده می شود.  API ها را می توان به طرق مختلف مورد استفاده قرار داد و آنها را به هدف اصلی هکرها تبدیل می کند.

روند حملات مبتنی بر API در سال های اخیر رشد قابل توجهی داشته است.

گزارش ها  حاکی از آن است که 95 درصد از شرکت ها در 12 ماه گذشته یک حادثه امنیتی API داشته و مطالعه دیگری  نشان می‌دهد که آسیب‌پذیری‌های API سالانه ۷۵ میلیارد دلار برای کسب‌وکارها هزینه دارد.

تهدیدهای رایج برای امنیت API عبارتند از:

بدافزار و حملات DDoS : حملات  انکار سرویس توزیع شده (DDoS) شامل ارسال حجم زیادی از ترافیک به وب سایت مورد نظر برای غلبه بر آن است که باعث از کار افتادن یا غیرقابل استفاده شدن آن می شود. حملات DDoS را می‌توان توسط بات‌نت‌ها انجام داد . گروه‌هایی از دستگاه‌های IoT که توسط بدافزار در معرض خطر قرار گرفته‌اند و به ربات‌هایی تبدیل شده‌اند که درخواست‌ها را به عقب و جلو ارسال می‌کنند. سایر حملات بدافزار شامل تزریق SQL است.

مدیریت نامناسب دارایی‌ها:   نسخه‌های قدیمی‌تر API آنها را در برابر حملات و نقض داده‌ها باز می‌کند. این شبیه به اسناد نامناسب است که داده‌های حساس را در معرض تهدیدات ناشناس قرار می‌دهد و یافتن آسیب‌پذیری‌هایی را که باید اصلاح شوند چالش برانگیز می‌کند. مهاجمان ممکن است نسخه‌های غیر تولیدی API مانند نسخه‌های مرحله‌ای، آزمایشی یا بتا را بیابند و از آنها در حمله استفاده کنند.

پیکربندی نادرست API  ها : هنگامی که یک برنامه وب به گونه ای پیکربندی می شود که داده ها و عملکردهایی را که می تواند در یک حمله مورد استفاده قرار گیرد در معرض دید قرار می دهد، گفته می شود که دارای پیکربندی اشتباه امنیتی است. مهاجمان ممکن است از سرورهای API با تنظیم نادرست، از جمله سیستم‌های وصله‌نشده یا فایل‌ها و پوشه‌های محافظت‌نشده سوء استفاده کنند. این شامل هدرهای HTTP نادرست، تنظیمات پیش‌فرض ناامن، پیام‌های خطای پرمخاطب و غیره است.

هر سازمانی باید تمام اقدامات ممکن را برای ایمن سازی API های خود در هر سطح انجام دهد، از جمله محافظت از آنها در برابر تهدیدهای خارجی و سوء استفاده داخلی. در غیر این صورت، آنها خود را در معرض نقض احتمالی مانند مواردی که  Uber  و  Equifax  تجربه کردند، در معرض خطر قرار می‌گیرند.

سازمان‌ها باید از راه‌حل‌های امنیتی API برای تشخیص زمانی که یک کاربر احراز هویت شده و تلاش می‌کند تا دسترسی غیرمجاز به داده‌های کاربر دیگر را برای جلوگیری از حملات BOLA به دست آورد، استفاده کنند. این اتفاق نیاز به بررسی دقیق همه گزینه‌های احراز هویت API را نشان می‌دهد. هر جریان API باید فرآیند احراز هویت استاندارد خود را با استفاده از راه حل امنیتی API ارزیابی کند.

آمارهای جهانی به یک روند واضح اشاره می کنند: هرچه به سمت آینده حرکت می کنیم عامل های حمله ابری API بیشتر و بیشتر رایج می شوند. برای محافظت واقعی از برنامه ها و کاربران خود در برابر عوامل مخرب، مشاغل امروزی باید API ها را در برابر تهدیدات در هر سطح از سازمان خود تقویت کنند.