Hirdetés
Hirdetés

Miért van szükség API-biztonságra?

|

A digitális transzformáció korában a vállalatok életében megkerülhetetlen az ügyfelek, az üzleti szolgáltatások és a partnerek közötti megbízható adatcsere.

Ez eredményezte a publikus API-k (Application Programming Interface - http-alapú alkalmazásintegrációs protokoll) robbanásszerű elterjedését, amely elérhetővé teszi az alkalmazásadatokat a kommunikációban részt vevő szereplők, eszközök és szolgáltatások számára. Mára a gépek közötti zökkenőmentes kommunikáció biztosítása érdekében API-k kötnek össze több tízezer internetes és felhőalkalmazást, mikroszolgáltatást, mobil- és IoT-eszközt. Ez a szám pedig a jövőben várhatóan exponenciálisan nő.

Hirdetés
          

Tény, hogy mára az API-kommunikáció nemcsak Facebook-üzenetek továbbításában merül ki, hanem óriási mennyiségű érzékeny adat is áramlik ezeken a csatornákon keresztül, gondoljunk csak a felhasználói azonosítókra, pénzügyi adatokra vagy vállalati titkokra, amelyeket sokszor szintén ezen az interfészen továbbítanak. Az API-k mára közvetlen összeköttetést nyújtanak a vállalat központi rendszereivel. Mindez pedig azt eredményezi, hogy az API-infrastruktúrák elterjedése óriási biztonsági kockázatot jelent.           

Hirdetés

A támadók is szeretik
Az API-kommunikációban elérhető érzékeny adatok mennyiségi növekedéséből következően az API-k a támadók elsődleges célpontjává váltak. A fellelhető sérülékenységeknek, konfigurációs hibáknak köszönhetően a háttérrendszereken tárolt információk megszerzése viszonylag egyszerűen megoldható. Ezek a támadások egyre gyakoribbak, amit jól mutat, hogy a közelmúlt legnagyobb adatvesztési incidensei közül már számos esetben az API-k gyengeségeinek kihasználása volt a támadás sikerének kulcsa, elég a Salesforce.com, a US Post, a T-Mobile vagy a Strava esetére gondolni.           

Az API-támadások egyre összetettebbek, célzottak és könnyen megkerülik a tradicionális védelmi vonalakat. Ezek a támadások nem ismerhetőek fel szignatúra-alapú webes tűzfalakkal (WAF), autentikációs vagy más alapvető biztonsági eszközökkel. A fejlett API-támadások csak céleszközökkel előzhetők meg. Ezek hiánya a vállalatoknak hamis biztonságérzetet ad.

Marosvári Gábor termékmarketing-vezető, Balasys partner           

Az alkalmazásfejlesztési projektek meghatározó részében a biztonság nem prioritás. Ezek a projektek a funkcionális specifikációra, felhasználói élményre és a határidőkre koncentrálnak. A biztonsági követelmények gyakran nincsenek is megfelelően megfogalmazva, hiszen a biztonsági csapatoknak nincs, vagy csupán korlátozott befolyásuk van ezekre a projektekre. Ennek eredményeként a fejlesztői eszközkészlet és a munkafolyamatok nem a biztonságra optimalizáltak. A fejlesztők nem a támadók fejével gondolkoznak, és ez a gyakorlat vezet a legtöbb egyedi sérülékenységhez a publikus API-k esetében, ami kockázatot jelent az üzletre, és lehetőséget kínál a támadók számára.           

Hirdetés

Szabályozott védelem
A PSD2 szabályozás megköveteli a bankoktól, hogy publikus API-t biztosítsanak külső fizetési szolgáltatóknak. A GDPR közvetetten megköveteli a személyes adatok anonimizálását vagy pszeudo-anonimizálását az adattovábbítások során. A PCI-DSS előírja a pénzügyi szolgáltatók számára, hogy titkosítsák a kártyatulajdonosok adatait a nyilvános hálózatokon… Ezeknek a szabályozásoknak egy fontos metszetük van: megkövetelik a szervezetektől, hogy védjék meg az ügyféladatokat mind a tárolás, mind a továbbítás során. Ennek a kritériumnak a teljesítése érdekében a szabályozott iparágak szereplőinek, ideértve a pénzügyi vagy a közszolgáltató szervezeteket, el kell gondolkodniuk azon, miként garantálják a biztonságos adatáramlást a publikus API-kon keresztül           

Összefoglalva tehát, rendkívül sok sebezhető API-alkalmazás van használatban, és ezek kihasználása napjaink egyik legfontosabb biztonsági kockázatának számít. Az API-támadások egyre összetettebbek, célzottabbak, és képesek megkerülni meglévő biztonsági rendszereket. Ez azt jelenti, hogy a publikus API-infrastruktúrákat üzemeltető szervezeteknek az API-k perspektívájából újra kell értékelniük a kockázatokat és a jogszabályi megfelelési kötelezettségeiket. Ez nem csupán a végfelhasználó vállalatok számára fontos, hanem a fejlesztővállalatoknak is meg kell fontolniuk, mit tehetnek az API-k integrálásának biztonsága érdekében, hiszen az egyedi fejlesztéseikben kihasználható sebezhetőségek száma meghatározó hitelességük és jó hírük szempontjából.           

A Balasys által fejlesztett Zorp API Security megoldás rendkívül rugalmas biztonsági eszköz, amellyel a szervezetek ellenőrizhetik API-forgalmukat. A Zorp API Security segítségével validálható, transzformálható, titkosítható és elemezhető az API-forgalom. Rugalmas architektúrájának köszönhetően kompromisszumok nélküli, a jogszabályi megfelelést is támogató API-biztonsági szabályok implementálhatók.   

. Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.