Търсене
Close this search box.

Изтичат ли чувствителни данни от вашите API?

За никого не е тайна, че изтичането на данни се превърна в основна грижа както за гражданите, така и за институциите по света. Те могат да нанесат сериозни щети на репутацията на дадена организация, да предизвикат значителни финансови загуби и дори да имат сериозни правни последици. От прословутия скандал с Cambridge Analytica до нарушаването на сигурността на данните на Equifax – имаше някои доста известни изтичания на данни, които доведоха до огромни последици за най-големите световни марки.

Нарушенията могат да имат огромно въздействие и върху физическите лица – в крайна сметка водят до загуба на лична информация, като например пароли или данни за кредитни карти, които могат да бъдат използвани от престъпници за злонамерени цели. Най-вече жертвите остават уязвими към кражба на самоличност или финансови измами.

Когато се замислите за огромния обем на тези изтичания, човек би си представил, че светът ще спре и ще се съсредоточи върху вектора(ите) на атака, който(ито) се използва(т). За съжаление, светът не е спрял. За да стане още по-интересно, най-значимият вектор на атака вероятно не е това, което вие или някой друг си мисли. Вярвате или не, интерфейсите за програмиране на приложения (API) са водещ виновник за излагане на риск и компрометиране.

Точно така, хакерите все по-често използват API, за да получат достъп до и да ексфилтрират чувствителни данни. Само през 2022 г. 76% от специалистите по киберсигурност са признали, че са преживели инцидент, свързан със сигурността на API. Ако това не е достатъчно привличащо вниманието, през същия период американските предприятия са понесли загуби в размер на 23 млрд. долара от нарушения, свързани с API. И за съжаление, много организации едва сега започват да обръщат внимание на това.

Във връзка с това в тази статия ще разгледаме потенциалните последици от изтичането на данни, ролята и въздействието на API, както и как организациите могат да се защитят от тези рискове.

Защита на данните, преминаващи през вашите API

Ако работите в областта на ИТ, е очевидно колко важни са контролите за сигурност, за да се предотврати разкриването или изтичането на чувствителни данни. Поради това организациите трябва да предприемат допълнителни стъпки, за да защитят данните си от неоторизиран достъп. Компаниите трябва да инвестират в най-новите мерки за сигурност и да гарантират, че всички служители са наясно с важността на защитата на чувствителната информация. Ако досега не сте разбрали картината, това упражнение определено трябва да включва инвестиране в сигурността на API.

Изненадващо за много специалисти в областта на технологиите, трафикът на API вече представлява над 80% от текущия интернет трафик, като повикванията към API нарастват два пъти по-бързо от трафика към HTML. Когато разгърнете тази статистика, бързо става ясно, че API взаимодействат с всички видове данни – включително чувствителни данни като информация за кредитни карти, здравни досиета, номера на социални осигуровки и др. Въпреки това на защитата на API не се обръща толкова голямо внимание, колкото на сигурността на мрежата, периметъра и приложенията. Честно казано, много организации се затрудняват дори с това да знаят колко API всъщност имат.

Доста тревожно, нали? Както се казва в старата поговорка, не можеш да защитиш това, което не виждаш. А без точен опис на API и поглед върху трафика на чувствителни данни не можете да се справите адекватно с потенциалните уязвимости и изтичането на данни.

Шлюзовете за API и защитните стени за уеб приложения (WAF) осигуряват само ограничена видимост на вашата API собственост, тъй като разкриват само трафика на API, който е насочен през тях. Също така имайте предвид, че API инвентарът е нещо повече от число. Трябва да знаете колко API-та имате, включително сенчести и зомбирани API-та, както и видовете данни, с които те работят. Което е другият недостатък на WAF и шлюзовете – те просто не осигуряват видимост за видовете чувствителни данни, които преминават през вашите API. Без нея може да има тежки последици, ако някога бъдат разкрити чувствителни данни.

Спазване на разпоредбите за съответствие

Като се има предвид нарастващото количество данни, които се събират и съхраняват, спазването на разпоредбите за съответствие с данните е също толкова важно за осигуряването на чувствителни данни. Това може да звучи малко странно, като се има предвид колко взаимозависими са двете практики, но спазването на изискванията за данни обхваща широк спектър от теми, включително политики за поверителност, мерки за сигурност на данните и права на клиентите.

За да се справят с променливи като индустрия, география и тип данни, регулаторите по света продължават да въвеждат и разширяват изискванията за това как организациите обработват чувствителна информация, като GDPR, HIPAA, PCI DSS, CCPA и т.н.

Спазването на тези разпоредби може да помогне за защита на личните данни на клиентите, да предотврати нарушения на сигурността на данните и да гарантира, че събраните данни са сигурни и защитени от неоторизиран достъп или злоупотреба. Което означава, че идентифицирането на мястото, където се намират данните, мястото, където се преместват, както и мястото, откъдето се осъществява достъпът до тях, е от решаващо значение за осигуряване на съответствие и избягване на скъпоструващи глоби.

Отново тук API играят важна роля. API са свързващата тъкан между вашите приложения и устройства. Независимо дали го осъзнавате или не, чувствителните данни на вашата организация преминават през API. За съжаление идеята за поддържане на съответствие в организацията все още се смята за упражнение, включващо единствено наследената инфраструктура. Ръководителите на бизнеса и ИТ трябва бързо да се ориентират, тъй като с появата на API съответствието придобива съвсем ново измерение. Видимостта на API трябва да бъде от първостепенно значение, тъй като изтичането на чувствителни данни може да доведе до сериозни нарушения на съответствието.

Как да защитите своите API и чувствителни данни

Традиционните решения за сигурност на приложенията са основополагащи в стековете за киберсигурност. Въпреки успешния им опит обаче API представляват уникални предизвикателства за сигурността, на които тези решения не могат да отговорят. Както установихме по-рано, шлюзовете за API и WAF осигуряват видимост само за трафика на API, който преминава през тях.

Когато става въпрос за подходящи инструменти, трябва да инвестирате в контрол на сигурността на API през целия жизнен цикъл на разработката на софтуер, за да гарантирате, че вашите API са защитени от кода до продукцията. Това е наистина единствената осезаема стратегия, ако сте сериозни по отношение на защитата на чувствителните си данни и спазването на разпоредбите за защита на личните данни. Четирите стълба, които съставляват една специално създадена платформа за сигурност на API, са откриване на API, управление на позициите, защита по време на изпълнение и тестване на сигурността на API. Нека разгледаме набързо всеки от тях и как те ви помагат да защитите чувствителните си данни:

  • Откриване на API: Откриването на API ви позволява да идентифицирате и инвентаризирате всички ваши API във всички източници на данни и среди.
  • Управление на позициите: Управлението на постулатите осигурява цялостен поглед върху трафика, кода и конфигурациите, за да се оцени състоянието на сигурността на API на организацията. също така идентифицира всички форми на чувствителни данни, които се движат през API.
  • Защита по време на изпълнение: Захранвани от мониторинг, базиран на изкуствен интелект и ML, инструментите за работа по време на изпълнение откриват аномалии и потенциални заплахи в трафика на API и улесняват отстраняването им въз основа на предварително избраните политики за реакция при инциденти.
  • Тестване на сигурността на API: Тестването на сигурността на API има за цел да отстрани уязвимостите преди производството, да намали риска и по този начин да укрепи вашата програма за съответствие.

Както виждате, за да получите пълен контрол над чувствителните си данни, е необходима цялостна платформа за сигурност на API. Тя обаче може да бъде и малко непосилна. С оглед на това, добро начало е да се запознаете с управлението на позициите. Като се има предвид, че този аспект е мястото, където се класифицира и организира личната информация (PII), вероятно е най-добре да се започне оттук. Можете да изтеглите безплатно копие на Ръководство за управление на  API, за да започнете.

Източник: The Hacker News

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
Бъдете социални
Още по темата
10/01/2024

AuthPoint през 2023: Разшир...

В края на годината нашият екип...
09/01/2024

Twilio ще се откаже от деск...

Десктоп приложенията на Authy за Windows,...
05/01/2024

Катастрофа за връзките с об...

Експерти съобщиха за ITPro, че отговорът...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!