:

Szerző: Koi Tamás

2022. május 20. 10:40

Az API-k a kiberbűnözők új célpontjai

Az alkalmazásprogramozási interfészek, vagyis az API-k, illetve az azokon keresztül csatornázott információk biztonságos kezelése és védelme egyre nagyobb fejtörést okoz a legtöbb iparág számára.

Az API-k a kiberbiztonság új ütközőzónájává váltak, illetve válhatnak, hívja fel a figyelmet több nemzetközi kutatás. A félelem egyáltalán nem alaptalan, hiszen ma egy átlagos vállalat nagyságrendileg 15 ezer API-t használ működéséhez kapcsolódóan, ami több mint 200 százalékos növekedésnek felel meg éves szinten.

A féktelen növekedés azonban az előnyök mellett veszélyeket is rejt: az API-kon keresztül áramló adatok  hatalmas értéket jelentenek nemcsak az ezeket jogosan kezelő vállalatoknak, hanem a kiberbűnözőknek is. Utóbbira talán a legismertebb példa a Linkedin esete, amitől több mint 700 millió felhasználójának személyes adatait lopták el az API-jain keresztül. Nem véletlen, hogy az informatikai ipar legismertebb elemzőcége, a Gartner szerint  2022-ben az API-k lesznek a kiberbűnözők legkedveltebb célpontjai.

Bár a fenti felmérés alapján a válaszadók 90%-a azt állította, hogy az API-k autentikációs mechanizmusát megfelelően bekonfigurálta, 30%-uk mégis úgy véli, hogy ezek a beállítások ma már nem elégségesek ahhoz, hogy a kibertámadásoknak elejét vegyék.

cyberweapon

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Nem véletlen, hogy a kiberbiztonsági termékekre specializálódott cégek egyre több olyan megoldást igyekeznek szállítani új és meglévő ügyfeleknek, melyek az API-kon keresztüli sebezhetőségre nyújtanak valamilyen megoldást. 

Ilyen megoldást mutatott be tegnap a sajtó számára a Balasys, ez a cég Zero Trust portfoliójába illeszkedő Proxedo API Lifecycle platform, melynek központi eleme az API Security, egy speciális biztonsági átjáró, amelynek segítségével nemcsak szabályozható, elemezhető és audit-naplózható az alkalmazások kommunikációja, de a Deep Packet Inspection (DPI) technológiával részletesen ellenőrizhető, titkosítható és elemezhető is az API-forgalom.

Mivel a külső támadások leggyakrabban az internet irányából érkeznek, ezt egészíti ki egy webalkalmazás tűzfal (WAF - web application firewall), tovább csökkentve a gyakran kihasznált sebezhetőségek kockázatát. A megoldás tartalmaz egy API menedzsment modult is, amivel az API-k hatékonyan és biztonságosan megtervezhetők, telepíthetők, monitorozhatók, dokumentálhatók és kezelhetők.

a címlapról