Търсене
Close this search box.

Изтичат ли чувствителни данни от вашите API?

За никого не е тайна, че изтичането на данни се превърна в основна грижа както за гражданите, така и за институциите по света. Те могат да нанесат сериозни щети на репутацията на дадена организация, да предизвикат значителни финансови загуби и дори да имат сериозни правни последици. От прословутия скандал с Cambridge Analytica до нарушаването на сигурността на данните на Equifax – имаше някои доста известни изтичания на данни, които доведоха до огромни последици за най-големите световни марки.

Нарушенията могат да имат огромно въздействие и върху физическите лица – в крайна сметка водят до загуба на лична информация, като например пароли или данни за кредитни карти, които могат да бъдат използвани от престъпници за злонамерени цели. Най-вече жертвите остават уязвими към кражба на самоличност или финансови измами.

Когато се замислите за огромния обем на тези изтичания, човек би си представил, че светът ще спре и ще се съсредоточи върху вектора(ите) на атака, който(ито) се използва(т). За съжаление, светът не е спрял. За да стане още по-интересно, най-значимият вектор на атака вероятно не е това, което вие или някой друг си мисли. Вярвате или не, интерфейсите за програмиране на приложения (API) са водещ виновник за излагане на риск и компрометиране.

Точно така, хакерите все по-често използват API, за да получат достъп до и да ексфилтрират чувствителни данни. Само през 2022 г. 76% от специалистите по киберсигурност са признали, че са преживели инцидент, свързан със сигурността на API. Ако това не е достатъчно привличащо вниманието, през същия период американските предприятия са понесли загуби в размер на 23 млрд. долара от нарушения, свързани с API. И за съжаление, много организации едва сега започват да обръщат внимание на това.

Във връзка с това в тази статия ще разгледаме потенциалните последици от изтичането на данни, ролята и въздействието на API, както и как организациите могат да се защитят от тези рискове.

Защита на данните, преминаващи през вашите API

Ако работите в областта на ИТ, е очевидно колко важни са контролите за сигурност, за да се предотврати разкриването или изтичането на чувствителни данни. Поради това организациите трябва да предприемат допълнителни стъпки, за да защитят данните си от неоторизиран достъп. Компаниите трябва да инвестират в най-новите мерки за сигурност и да гарантират, че всички служители са наясно с важността на защитата на чувствителната информация. Ако досега не сте разбрали картината, това упражнение определено трябва да включва инвестиране в сигурността на API.

Изненадващо за много специалисти в областта на технологиите, трафикът на API вече представлява над 80% от текущия интернет трафик, като повикванията към API нарастват два пъти по-бързо от трафика към HTML. Когато разгърнете тази статистика, бързо става ясно, че API взаимодействат с всички видове данни – включително чувствителни данни като информация за кредитни карти, здравни досиета, номера на социални осигуровки и др. Въпреки това на защитата на API не се обръща толкова голямо внимание, колкото на сигурността на мрежата, периметъра и приложенията. Честно казано, много организации се затрудняват дори с това да знаят колко API всъщност имат.

Доста тревожно, нали? Както се казва в старата поговорка, не можеш да защитиш това, което не виждаш. А без точен опис на API и поглед върху трафика на чувствителни данни не можете да се справите адекватно с потенциалните уязвимости и изтичането на данни.

Шлюзовете за API и защитните стени за уеб приложения (WAF) осигуряват само ограничена видимост на вашата API собственост, тъй като разкриват само трафика на API, който е насочен през тях. Също така имайте предвид, че API инвентарът е нещо повече от число. Трябва да знаете колко API-та имате, включително сенчести и зомбирани API-та, както и видовете данни, с които те работят. Което е другият недостатък на WAF и шлюзовете – те просто не осигуряват видимост за видовете чувствителни данни, които преминават през вашите API. Без нея може да има тежки последици, ако някога бъдат разкрити чувствителни данни.

Спазване на разпоредбите за съответствие

Като се има предвид нарастващото количество данни, които се събират и съхраняват, спазването на разпоредбите за съответствие с данните е също толкова важно за осигуряването на чувствителни данни. Това може да звучи малко странно, като се има предвид колко взаимозависими са двете практики, но спазването на изискванията за данни обхваща широк спектър от теми, включително политики за поверителност, мерки за сигурност на данните и права на клиентите.

За да се справят с променливи като индустрия, география и тип данни, регулаторите по света продължават да въвеждат и разширяват изискванията за това как организациите обработват чувствителна информация, като GDPR, HIPAA, PCI DSS, CCPA и т.н.

Спазването на тези разпоредби може да помогне за защита на личните данни на клиентите, да предотврати нарушения на сигурността на данните и да гарантира, че събраните данни са сигурни и защитени от неоторизиран достъп или злоупотреба. Което означава, че идентифицирането на мястото, където се намират данните, мястото, където се преместват, както и мястото, откъдето се осъществява достъпът до тях, е от решаващо значение за осигуряване на съответствие и избягване на скъпоструващи глоби.

Отново тук API играят важна роля. API са свързващата тъкан между вашите приложения и устройства. Независимо дали го осъзнавате или не, чувствителните данни на вашата организация преминават през API. За съжаление идеята за поддържане на съответствие в организацията все още се смята за упражнение, включващо единствено наследената инфраструктура. Ръководителите на бизнеса и ИТ трябва бързо да се ориентират, тъй като с появата на API съответствието придобива съвсем ново измерение. Видимостта на API трябва да бъде от първостепенно значение, тъй като изтичането на чувствителни данни може да доведе до сериозни нарушения на съответствието.

Как да защитите своите API и чувствителни данни

Традиционните решения за сигурност на приложенията са основополагащи в стековете за киберсигурност. Въпреки успешния им опит обаче API представляват уникални предизвикателства за сигурността, на които тези решения не могат да отговорят. Както установихме по-рано, шлюзовете за API и WAF осигуряват видимост само за трафика на API, който преминава през тях.

Когато става въпрос за подходящи инструменти, трябва да инвестирате в контрол на сигурността на API през целия жизнен цикъл на разработката на софтуер, за да гарантирате, че вашите API са защитени от кода до продукцията. Това е наистина единствената осезаема стратегия, ако сте сериозни по отношение на защитата на чувствителните си данни и спазването на разпоредбите за защита на личните данни. Четирите стълба, които съставляват една специално създадена платформа за сигурност на API, са откриване на API, управление на позициите, защита по време на изпълнение и тестване на сигурността на API. Нека разгледаме набързо всеки от тях и как те ви помагат да защитите чувствителните си данни:

  • Откриване на API: Откриването на API ви позволява да идентифицирате и инвентаризирате всички ваши API във всички източници на данни и среди.
  • Управление на позициите: Управлението на постулатите осигурява цялостен поглед върху трафика, кода и конфигурациите, за да се оцени състоянието на сигурността на API на организацията. също така идентифицира всички форми на чувствителни данни, които се движат през API.
  • Защита по време на изпълнение: Захранвани от мониторинг, базиран на изкуствен интелект и ML, инструментите за работа по време на изпълнение откриват аномалии и потенциални заплахи в трафика на API и улесняват отстраняването им въз основа на предварително избраните политики за реакция при инциденти.
  • Тестване на сигурността на API: Тестването на сигурността на API има за цел да отстрани уязвимостите преди производството, да намали риска и по този начин да укрепи вашата програма за съответствие.

Както виждате, за да получите пълен контрол над чувствителните си данни, е необходима цялостна платформа за сигурност на API. Тя обаче може да бъде и малко непосилна. С оглед на това, добро начало е да се запознаете с управлението на позициите. Като се има предвид, че този аспект е мястото, където се класифицира и организира личната информация (PII), вероятно е най-добре да се започне оттук. Можете да изтеглите безплатно копие на Ръководство за управление на  API, за да започнете.

Източник: The Hacker News

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
Бъдете социални
Още по темата
08/09/2024

Европа отвори вратата към у...

Представете си, че се премествате в...
06/09/2024

Ролята на котвите на довери...

За да се възползват напълно от...
02/09/2024

Тази нова Wi-Fi атака може ...

Нарастващата сложност на мрежите и свързаните...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!