Търсене
Close this search box.

Изтичат ли чувствителни данни от вашите API?

За никого не е тайна, че изтичането на данни се превърна в основна грижа както за гражданите, така и за институциите по света. Те могат да нанесат сериозни щети на репутацията на дадена организация, да предизвикат значителни финансови загуби и дори да имат сериозни правни последици. От прословутия скандал с Cambridge Analytica до нарушаването на сигурността на данните на Equifax – имаше някои доста известни изтичания на данни, които доведоха до огромни последици за най-големите световни марки.

Нарушенията могат да имат огромно въздействие и върху физическите лица – в крайна сметка водят до загуба на лична информация, като например пароли или данни за кредитни карти, които могат да бъдат използвани от престъпници за злонамерени цели. Най-вече жертвите остават уязвими към кражба на самоличност или финансови измами.

Когато се замислите за огромния обем на тези изтичания, човек би си представил, че светът ще спре и ще се съсредоточи върху вектора(ите) на атака, който(ито) се използва(т). За съжаление, светът не е спрял. За да стане още по-интересно, най-значимият вектор на атака вероятно не е това, което вие или някой друг си мисли. Вярвате или не, интерфейсите за програмиране на приложения (API) са водещ виновник за излагане на риск и компрометиране.

Точно така, хакерите все по-често използват API, за да получат достъп до и да ексфилтрират чувствителни данни. Само през 2022 г. 76% от специалистите по киберсигурност са признали, че са преживели инцидент, свързан със сигурността на API. Ако това не е достатъчно привличащо вниманието, през същия период американските предприятия са понесли загуби в размер на 23 млрд. долара от нарушения, свързани с API. И за съжаление, много организации едва сега започват да обръщат внимание на това.

Във връзка с това в тази статия ще разгледаме потенциалните последици от изтичането на данни, ролята и въздействието на API, както и как организациите могат да се защитят от тези рискове.

Защита на данните, преминаващи през вашите API

Ако работите в областта на ИТ, е очевидно колко важни са контролите за сигурност, за да се предотврати разкриването или изтичането на чувствителни данни. Поради това организациите трябва да предприемат допълнителни стъпки, за да защитят данните си от неоторизиран достъп. Компаниите трябва да инвестират в най-новите мерки за сигурност и да гарантират, че всички служители са наясно с важността на защитата на чувствителната информация. Ако досега не сте разбрали картината, това упражнение определено трябва да включва инвестиране в сигурността на API.

Изненадващо за много специалисти в областта на технологиите, трафикът на API вече представлява над 80% от текущия интернет трафик, като повикванията към API нарастват два пъти по-бързо от трафика към HTML. Когато разгърнете тази статистика, бързо става ясно, че API взаимодействат с всички видове данни – включително чувствителни данни като информация за кредитни карти, здравни досиета, номера на социални осигуровки и др. Въпреки това на защитата на API не се обръща толкова голямо внимание, колкото на сигурността на мрежата, периметъра и приложенията. Честно казано, много организации се затрудняват дори с това да знаят колко API всъщност имат.

Доста тревожно, нали? Както се казва в старата поговорка, не можеш да защитиш това, което не виждаш. А без точен опис на API и поглед върху трафика на чувствителни данни не можете да се справите адекватно с потенциалните уязвимости и изтичането на данни.

Шлюзовете за API и защитните стени за уеб приложения (WAF) осигуряват само ограничена видимост на вашата API собственост, тъй като разкриват само трафика на API, който е насочен през тях. Също така имайте предвид, че API инвентарът е нещо повече от число. Трябва да знаете колко API-та имате, включително сенчести и зомбирани API-та, както и видовете данни, с които те работят. Което е другият недостатък на WAF и шлюзовете – те просто не осигуряват видимост за видовете чувствителни данни, които преминават през вашите API. Без нея може да има тежки последици, ако някога бъдат разкрити чувствителни данни.

Спазване на разпоредбите за съответствие

Като се има предвид нарастващото количество данни, които се събират и съхраняват, спазването на разпоредбите за съответствие с данните е също толкова важно за осигуряването на чувствителни данни. Това може да звучи малко странно, като се има предвид колко взаимозависими са двете практики, но спазването на изискванията за данни обхваща широк спектър от теми, включително политики за поверителност, мерки за сигурност на данните и права на клиентите.

За да се справят с променливи като индустрия, география и тип данни, регулаторите по света продължават да въвеждат и разширяват изискванията за това как организациите обработват чувствителна информация, като GDPR, HIPAA, PCI DSS, CCPA и т.н.

Спазването на тези разпоредби може да помогне за защита на личните данни на клиентите, да предотврати нарушения на сигурността на данните и да гарантира, че събраните данни са сигурни и защитени от неоторизиран достъп или злоупотреба. Което означава, че идентифицирането на мястото, където се намират данните, мястото, където се преместват, както и мястото, откъдето се осъществява достъпът до тях, е от решаващо значение за осигуряване на съответствие и избягване на скъпоструващи глоби.

Отново тук API играят важна роля. API са свързващата тъкан между вашите приложения и устройства. Независимо дали го осъзнавате или не, чувствителните данни на вашата организация преминават през API. За съжаление идеята за поддържане на съответствие в организацията все още се смята за упражнение, включващо единствено наследената инфраструктура. Ръководителите на бизнеса и ИТ трябва бързо да се ориентират, тъй като с появата на API съответствието придобива съвсем ново измерение. Видимостта на API трябва да бъде от първостепенно значение, тъй като изтичането на чувствителни данни може да доведе до сериозни нарушения на съответствието.

Как да защитите своите API и чувствителни данни

Традиционните решения за сигурност на приложенията са основополагащи в стековете за киберсигурност. Въпреки успешния им опит обаче API представляват уникални предизвикателства за сигурността, на които тези решения не могат да отговорят. Както установихме по-рано, шлюзовете за API и WAF осигуряват видимост само за трафика на API, който преминава през тях.

Когато става въпрос за подходящи инструменти, трябва да инвестирате в контрол на сигурността на API през целия жизнен цикъл на разработката на софтуер, за да гарантирате, че вашите API са защитени от кода до продукцията. Това е наистина единствената осезаема стратегия, ако сте сериозни по отношение на защитата на чувствителните си данни и спазването на разпоредбите за защита на личните данни. Четирите стълба, които съставляват една специално създадена платформа за сигурност на API, са откриване на API, управление на позициите, защита по време на изпълнение и тестване на сигурността на API. Нека разгледаме набързо всеки от тях и как те ви помагат да защитите чувствителните си данни:

  • Откриване на API: Откриването на API ви позволява да идентифицирате и инвентаризирате всички ваши API във всички източници на данни и среди.
  • Управление на позициите: Управлението на постулатите осигурява цялостен поглед върху трафика, кода и конфигурациите, за да се оцени състоянието на сигурността на API на организацията. също така идентифицира всички форми на чувствителни данни, които се движат през API.
  • Защита по време на изпълнение: Захранвани от мониторинг, базиран на изкуствен интелект и ML, инструментите за работа по време на изпълнение откриват аномалии и потенциални заплахи в трафика на API и улесняват отстраняването им въз основа на предварително избраните политики за реакция при инциденти.
  • Тестване на сигурността на API: Тестването на сигурността на API има за цел да отстрани уязвимостите преди производството, да намали риска и по този начин да укрепи вашата програма за съответствие.

Както виждате, за да получите пълен контрол над чувствителните си данни, е необходима цялостна платформа за сигурност на API. Тя обаче може да бъде и малко непосилна. С оглед на това, добро начало е да се запознаете с управлението на позициите. Като се има предвид, че този аспект е мястото, където се класифицира и организира личната информация (PII), вероятно е най-добре да се започне оттук. Можете да изтеглите безплатно копие на Ръководство за управление на  API, за да започнете.

Източник: The Hacker News

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
Бъдете социални
Още по темата
21/05/2024

Уязвимост на Fluent Bit за...

Критична уязвимост на Fluent Bit, която...
26/03/2024

Случаят AnyDesk: Какви стъ...

На 2 февруари популярният инструмент за...
16/03/2024

(Пре)представете си управле...

Докато организациите търсят решения за защита...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!