За никого не е тайна, че изтичането на данни се превърна в основна грижа както за гражданите, така и за институциите по света. Те могат да нанесат сериозни щети на репутацията на дадена организация, да предизвикат значителни финансови загуби и дори да имат сериозни правни последици. От прословутия скандал с Cambridge Analytica до нарушаването на сигурността на данните на Equifax – имаше някои доста известни изтичания на данни, които доведоха до огромни последици за най-големите световни марки.
Нарушенията могат да имат огромно въздействие и върху физическите лица – в крайна сметка водят до загуба на лична информация, като например пароли или данни за кредитни карти, които могат да бъдат използвани от престъпници за злонамерени цели. Най-вече жертвите остават уязвими към кражба на самоличност или финансови измами.
Когато се замислите за огромния обем на тези изтичания, човек би си представил, че светът ще спре и ще се съсредоточи върху вектора(ите) на атака, който(ито) се използва(т). За съжаление, светът не е спрял. За да стане още по-интересно, най-значимият вектор на атака вероятно не е това, което вие или някой друг си мисли. Вярвате или не, интерфейсите за програмиране на приложения (API) са водещ виновник за излагане на риск и компрометиране.
Точно така, хакерите все по-често използват API, за да получат достъп до и да ексфилтрират чувствителни данни. Само през 2022 г. 76% от специалистите по киберсигурност са признали, че са преживели инцидент, свързан със сигурността на API. Ако това не е достатъчно привличащо вниманието, през същия период американските предприятия са понесли загуби в размер на 23 млрд. долара от нарушения, свързани с API. И за съжаление, много организации едва сега започват да обръщат внимание на това.
Във връзка с това в тази статия ще разгледаме потенциалните последици от изтичането на данни, ролята и въздействието на API, както и как организациите могат да се защитят от тези рискове.
Ако работите в областта на ИТ, е очевидно колко важни са контролите за сигурност, за да се предотврати разкриването или изтичането на чувствителни данни. Поради това организациите трябва да предприемат допълнителни стъпки, за да защитят данните си от неоторизиран достъп. Компаниите трябва да инвестират в най-новите мерки за сигурност и да гарантират, че всички служители са наясно с важността на защитата на чувствителната информация. Ако досега не сте разбрали картината, това упражнение определено трябва да включва инвестиране в сигурността на API.
Изненадващо за много специалисти в областта на технологиите, трафикът на API вече представлява над 80% от текущия интернет трафик, като повикванията към API нарастват два пъти по-бързо от трафика към HTML. Когато разгърнете тази статистика, бързо става ясно, че API взаимодействат с всички видове данни – включително чувствителни данни като информация за кредитни карти, здравни досиета, номера на социални осигуровки и др. Въпреки това на защитата на API не се обръща толкова голямо внимание, колкото на сигурността на мрежата, периметъра и приложенията. Честно казано, много организации се затрудняват дори с това да знаят колко API всъщност имат.
Доста тревожно, нали? Както се казва в старата поговорка, не можеш да защитиш това, което не виждаш. А без точен опис на API и поглед върху трафика на чувствителни данни не можете да се справите адекватно с потенциалните уязвимости и изтичането на данни.
Шлюзовете за API и защитните стени за уеб приложения (WAF) осигуряват само ограничена видимост на вашата API собственост, тъй като разкриват само трафика на API, който е насочен през тях. Също така имайте предвид, че API инвентарът е нещо повече от число. Трябва да знаете колко API-та имате, включително сенчести и зомбирани API-та, както и видовете данни, с които те работят. Което е другият недостатък на WAF и шлюзовете – те просто не осигуряват видимост за видовете чувствителни данни, които преминават през вашите API. Без нея може да има тежки последици, ако някога бъдат разкрити чувствителни данни.
Като се има предвид нарастващото количество данни, които се събират и съхраняват, спазването на разпоредбите за съответствие с данните е също толкова важно за осигуряването на чувствителни данни. Това може да звучи малко странно, като се има предвид колко взаимозависими са двете практики, но спазването на изискванията за данни обхваща широк спектър от теми, включително политики за поверителност, мерки за сигурност на данните и права на клиентите.
За да се справят с променливи като индустрия, география и тип данни, регулаторите по света продължават да въвеждат и разширяват изискванията за това как организациите обработват чувствителна информация, като GDPR, HIPAA, PCI DSS, CCPA и т.н.
Спазването на тези разпоредби може да помогне за защита на личните данни на клиентите, да предотврати нарушения на сигурността на данните и да гарантира, че събраните данни са сигурни и защитени от неоторизиран достъп или злоупотреба. Което означава, че идентифицирането на мястото, където се намират данните, мястото, където се преместват, както и мястото, откъдето се осъществява достъпът до тях, е от решаващо значение за осигуряване на съответствие и избягване на скъпоструващи глоби.
Отново тук API играят важна роля. API са свързващата тъкан между вашите приложения и устройства. Независимо дали го осъзнавате или не, чувствителните данни на вашата организация преминават през API. За съжаление идеята за поддържане на съответствие в организацията все още се смята за упражнение, включващо единствено наследената инфраструктура. Ръководителите на бизнеса и ИТ трябва бързо да се ориентират, тъй като с появата на API съответствието придобива съвсем ново измерение. Видимостта на API трябва да бъде от първостепенно значение, тъй като изтичането на чувствителни данни може да доведе до сериозни нарушения на съответствието.
Традиционните решения за сигурност на приложенията са основополагащи в стековете за киберсигурност. Въпреки успешния им опит обаче API представляват уникални предизвикателства за сигурността, на които тези решения не могат да отговорят. Както установихме по-рано, шлюзовете за API и WAF осигуряват видимост само за трафика на API, който преминава през тях.
Когато става въпрос за подходящи инструменти, трябва да инвестирате в контрол на сигурността на API през целия жизнен цикъл на разработката на софтуер, за да гарантирате, че вашите API са защитени от кода до продукцията. Това е наистина единствената осезаема стратегия, ако сте сериозни по отношение на защитата на чувствителните си данни и спазването на разпоредбите за защита на личните данни. Четирите стълба, които съставляват една специално създадена платформа за сигурност на API, са откриване на API, управление на позициите, защита по време на изпълнение и тестване на сигурността на API. Нека разгледаме набързо всеки от тях и как те ви помагат да защитите чувствителните си данни:
Както виждате, за да получите пълен контрол над чувствителните си данни, е необходима цялостна платформа за сигурност на API. Тя обаче може да бъде и малко непосилна. С оглед на това, добро начало е да се запознаете с управлението на позициите. Като се има предвид, че този аспект е мястото, където се класифицира и организира личната информация (PII), вероятно е най-добре да се започне оттук. Можете да изтеглите безплатно копие на Ръководство за управление на API, за да започнете.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.