Търсене
Close this search box.

За никого не е тайна, че изтичането на данни се превърна в основна грижа както за гражданите, така и за институциите по света. Те могат да нанесат сериозни щети на репутацията на дадена организация, да предизвикат значителни финансови загуби и дори да имат сериозни правни последици. От прословутия скандал с Cambridge Analytica до нарушаването на сигурността на данните на Equifax – имаше някои доста известни изтичания на данни, които доведоха до огромни последици за най-големите световни марки.

Нарушенията могат да имат огромно въздействие и върху физическите лица – в крайна сметка водят до загуба на лична информация, като например пароли или данни за кредитни карти, които могат да бъдат използвани от престъпници за злонамерени цели. Най-вече жертвите остават уязвими към кражба на самоличност или финансови измами.

Когато се замислите за огромния обем на тези изтичания, човек би си представил, че светът ще спре и ще се съсредоточи върху вектора(ите) на атака, който(ито) се използва(т). За съжаление, светът не е спрял. За да стане още по-интересно, най-значимият вектор на атака вероятно не е това, което вие или някой друг си мисли. Вярвате или не, интерфейсите за програмиране на приложения (API) са водещ виновник за излагане на риск и компрометиране.

Точно така, хакерите все по-често използват API, за да получат достъп до и да ексфилтрират чувствителни данни. Само през 2022 г. 76% от специалистите по киберсигурност са признали, че са преживели инцидент, свързан със сигурността на API. Ако това не е достатъчно привличащо вниманието, през същия период американските предприятия са понесли загуби в размер на 23 млрд. долара от нарушения, свързани с API. И за съжаление, много организации едва сега започват да обръщат внимание на това.

Във връзка с това в тази статия ще разгледаме потенциалните последици от изтичането на данни, ролята и въздействието на API, както и как организациите могат да се защитят от тези рискове.

Защита на данните, преминаващи през вашите API

Ако работите в областта на ИТ, е очевидно колко важни са контролите за сигурност, за да се предотврати разкриването или изтичането на чувствителни данни. Поради това организациите трябва да предприемат допълнителни стъпки, за да защитят данните си от неоторизиран достъп. Компаниите трябва да инвестират в най-новите мерки за сигурност и да гарантират, че всички служители са наясно с важността на защитата на чувствителната информация. Ако досега не сте разбрали картината, това упражнение определено трябва да включва инвестиране в сигурността на API.

Изненадващо за много специалисти в областта на технологиите, трафикът на API вече представлява над 80% от текущия интернет трафик, като повикванията към API нарастват два пъти по-бързо от трафика към HTML. Когато разгърнете тази статистика, бързо става ясно, че API взаимодействат с всички видове данни – включително чувствителни данни като информация за кредитни карти, здравни досиета, номера на социални осигуровки и др. Въпреки това на защитата на API не се обръща толкова голямо внимание, колкото на сигурността на мрежата, периметъра и приложенията. Честно казано, много организации се затрудняват дори с това да знаят колко API всъщност имат.

Доста тревожно, нали? Както се казва в старата поговорка, не можеш да защитиш това, което не виждаш. А без точен опис на API и поглед върху трафика на чувствителни данни не можете да се справите адекватно с потенциалните уязвимости и изтичането на данни.

Шлюзовете за API и защитните стени за уеб приложения (WAF) осигуряват само ограничена видимост на вашата API собственост, тъй като разкриват само трафика на API, който е насочен през тях. Също така имайте предвид, че API инвентарът е нещо повече от число. Трябва да знаете колко API-та имате, включително сенчести и зомбирани API-та, както и видовете данни, с които те работят. Което е другият недостатък на WAF и шлюзовете – те просто не осигуряват видимост за видовете чувствителни данни, които преминават през вашите API. Без нея може да има тежки последици, ако някога бъдат разкрити чувствителни данни.

Спазване на разпоредбите за съответствие

Като се има предвид нарастващото количество данни, които се събират и съхраняват, спазването на разпоредбите за съответствие с данните е също толкова важно за осигуряването на чувствителни данни. Това може да звучи малко странно, като се има предвид колко взаимозависими са двете практики, но спазването на изискванията за данни обхваща широк спектър от теми, включително политики за поверителност, мерки за сигурност на данните и права на клиентите.

За да се справят с променливи като индустрия, география и тип данни, регулаторите по света продължават да въвеждат и разширяват изискванията за това как организациите обработват чувствителна информация, като GDPR, HIPAA, PCI DSS, CCPA и т.н.

Спазването на тези разпоредби може да помогне за защита на личните данни на клиентите, да предотврати нарушения на сигурността на данните и да гарантира, че събраните данни са сигурни и защитени от неоторизиран достъп или злоупотреба. Което означава, че идентифицирането на мястото, където се намират данните, мястото, където се преместват, както и мястото, откъдето се осъществява достъпът до тях, е от решаващо значение за осигуряване на съответствие и избягване на скъпоструващи глоби.

Отново тук API играят важна роля. API са свързващата тъкан между вашите приложения и устройства. Независимо дали го осъзнавате или не, чувствителните данни на вашата организация преминават през API. За съжаление идеята за поддържане на съответствие в организацията все още се смята за упражнение, включващо единствено наследената инфраструктура. Ръководителите на бизнеса и ИТ трябва бързо да се ориентират, тъй като с появата на API съответствието придобива съвсем ново измерение. Видимостта на API трябва да бъде от първостепенно значение, тъй като изтичането на чувствителни данни може да доведе до сериозни нарушения на съответствието.

Как да защитите своите API и чувствителни данни

Традиционните решения за сигурност на приложенията са основополагащи в стековете за киберсигурност. Въпреки успешния им опит обаче API представляват уникални предизвикателства за сигурността, на които тези решения не могат да отговорят. Както установихме по-рано, шлюзовете за API и WAF осигуряват видимост само за трафика на API, който преминава през тях.

Когато става въпрос за подходящи инструменти, трябва да инвестирате в контрол на сигурността на API през целия жизнен цикъл на разработката на софтуер, за да гарантирате, че вашите API са защитени от кода до продукцията. Това е наистина единствената осезаема стратегия, ако сте сериозни по отношение на защитата на чувствителните си данни и спазването на разпоредбите за защита на личните данни. Четирите стълба, които съставляват една специално създадена платформа за сигурност на API, са откриване на API, управление на позициите, защита по време на изпълнение и тестване на сигурността на API. Нека разгледаме набързо всеки от тях и как те ви помагат да защитите чувствителните си данни:

  • Откриване на API: Откриването на API ви позволява да идентифицирате и инвентаризирате всички ваши API във всички източници на данни и среди.
  • Управление на позициите: Управлението на постулатите осигурява цялостен поглед върху трафика, кода и конфигурациите, за да се оцени състоянието на сигурността на API на организацията. също така идентифицира всички форми на чувствителни данни, които се движат през API.
  • Защита по време на изпълнение: Захранвани от мониторинг, базиран на изкуствен интелект и ML, инструментите за работа по време на изпълнение откриват аномалии и потенциални заплахи в трафика на API и улесняват отстраняването им въз основа на предварително избраните политики за реакция при инциденти.
  • Тестване на сигурността на API: Тестването на сигурността на API има за цел да отстрани уязвимостите преди производството, да намали риска и по този начин да укрепи вашата програма за съответствие.

Както виждате, за да получите пълен контрол над чувствителните си данни, е необходима цялостна платформа за сигурност на API. Тя обаче може да бъде и малко непосилна. С оглед на това, добро начало е да се запознаете с управлението на позициите. Като се има предвид, че този аспект е мястото, където се класифицира и организира личната информация (PII), вероятно е най-добре да се започне оттук. Можете да изтеглите безплатно копие на Ръководство за управление на  API, за да започнете.

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
12/12/2024

Пионерът в симетричната кри...

Бъдещето, в което се използват квантови...
04/12/2024

Домейните за разработчици н...

Домейните „pages.dev“ и „workers.dev“ на Cloudflare,...
27/11/2024

AWS разпространява актуализ...

Amazon Web Services (AWS) обяви актуализации...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!