چشم انداز تهدیدات سایبری در حال تغییر است. امروزه با نوع جدیدی از تهدیدات پیشرفته روبرو هستیم که از API ها به عنوان مسیر حمله اولیه استفاده می کند. طبق گفته گارتنر، APIها تا سال 2022 به مهمترین مسیر حمله برای برنامه های کاربردی وب سازمانی تبدیل خواهند شد. همانطور که بسیاری از کسب و کارها عملیات خود را به ابر منتقل می کنند و داده های بیشتری به API ها وارد می شود، شاهد افزایش قابل توجه حملات مبتنی بر API (از جمله نقض داده Optus) هستیم. در این مقاله نگاهی کوتاه به این تهدید و اقدامات امنیتی مفید برای مقابله با آن می اندازیم.
محبوبیت روزافزون APIها
API ها روشی کارآمد برای استفاده از داده ها و امکانات ارائه شده در سرویس ها و اپلیکیشن های سازمانی هستند و به دلیل توانایی ویژه ای که در برقراری ارتباط بین سیستم های مختلف دارند، محبوبیت زیادی به دست آورده اند. سازمان ها همچنین از این ابزارها برای ساخت برنامه های کاربردی پیچیده که شالوده مدل کسب و کار آنها را تشکیل می دهند، استفاده می کنند.
به عنوان مثال، API یک بانک اجازه دسترسی به اطلاعات حساب شما را از طریق یک وب سایت یا نرم افزار تلفن همراه می دهد. سازمان ها همچنین می توانند از API ها برای فرآیندهای داخلی مانند مدیریت موجودی یا صورتحساب استفاده کنند. استفاده از API ها نه تنها کارها را سریعتر و آسان تر می کند، بلکه فرصتی برای رشد و نوآوری از طریق یکپارچه سازی با سرویس ها یا پلتفرم های خارج از کنترل سازمان فراهم می کند، اما آنها توجه زیادی به جنبه امنیتی API ها ندارند.
حملات API
از آنجایی که بسیاری از افراد و برنامه ها از API استفاده می کنند، استفاده از این ابزارها به روش های مختلف امکان پذیر است. هکرها نیز از این فرصت استفاده می کنند. در نتیجه، حملات مبتنی بر API در سال های اخیر به طور چشمگیری افزایش یافته است. با توجه به عدم انعطاف پذیری API ها و افزایش مستمر حملات مبتنی بر API، اگر سازمان ها فرآیندهای مدیریت تهدیدات لازم را پیاده سازی نکنند، در این زمینه با مشکلات جدی مواجه خواهند شد. طبق آمار و نتایج تحقیقات، بیش از 90 درصد سازمان ها حداقل یک حادثه امنیتی مرتبط با API را در ماه های اخیر تجربه کرده اند و ترافیک حمله API 681 درصد افزایش یافته است. علاوه بر این، آسیب پذیری های API تا 75 میلیارد دلار در سال هزینه دارد.
تهدیدهای رایج امنیتی API عبارتند از:
- حملات بدافزار و DDoS: در حملات DDoS حجم زیادی از ترافیک به یک سایت ارسال می شود و از دسترس خارج می شود. حملات DDoS را می توان توسط بات نت ها انجام داد. بات نت ها گروهی از دستگاه های اینترنت اشیا هستند. بدافزار این دستگاه ها را آلوده کرده و آنها را به ربات هایی تبدیل می کند که دائما درخواست ارسال می کنند. سایر حملات بدافزار شامل تزریق SQL و پر کردن اطلاعات کاربری است.
- ضعف مدیریت دارایی: نسخههای قدیمیتر API در برابر نفوذ اطلاعات و حملات سایبری آسیبپذیر هستند. این وضعیت مشابه اسناد ضعیفی است که داده های حساس را در معرض تهدیدات ناشناخته قرار می دهد و منجر به آسیب پذیری می شود. این امکان برای مهاجمان وجود دارد که نسخههای غیر تولیدی و ناامن APIها مانند نسخههای بتا یا آزمایشی را پیدا کنند و از آنها در حمله استفاده کنند.
- پیکربندی نادرست APIمی بینم: اگر برنامه وب به گونه ای پیکربندی شده باشد که داده ها و عملکردها را در معرض دید هکرها قرار دهد، آن پیکربندی چندان ایمن نیست. مهاجمان از سرورهای API با پیکربندی ضعیفی استفاده میکنند که حاوی سیستمهای وصلهنشده یا پوشهها و فایلهای محافظتنشده هستند. آنها سیستم هایی با هدرهای HTTP نادرست، تنظیمات پیش فرض ناامن، پیام های خطای طولانی (حاوی اطلاعات مفید برای هکرها) و موارد دیگر را هدف قرار می دهند.
نیاز به ایمن سازی API ها
همه سازمان ها باید اقداماتی را برای ایمن سازی API ها در همه سطوح انجام دهند، از جمله محافظت از آنها در برابر سوء استفاده های داخلی و خارجی. در غیر این صورت، خطرات نقض امنیتی مانند آنچه در Uber و Equifax رخ داد وجود داشت. سازمان ها می توانند این کار را با استفاده از اصول اعتماد صفر برای ایمن سازی API ها انجام دهند. تیم های امنیتی برنامه باید امنیت نقطه پایانی را برای رسیدگی به لایه های احراز هویت، مجوز و پیشگیری از تهدید بهبود بخشند. به این ترتیب امکان دسترسی آسان هکرها به سیستم ها و شبکه ها وجود ندارد. وقتی صحبت از محافظت از API و کاربران آن در برابر نقضهای امنیتی میشود، نباید رویدادهای مشکوک را نادیده بگیرید. مسائل امنیتی معمولاً خود را به شکل رفتارهای غیرعادی نشان می دهند. با توجه به این نشانه ها می توانید با این خطرات مقابله کنید.
سازمان ها همچنین باید از راه حل های امنیتی API برای شناسایی تلاش های کاربران احراز هویت شده برای دسترسی به داده های دیگر کاربران استفاده کنند. در این زمینه، باید تمام گزینه های احراز هویت API را بررسی کنید. همه مسیرهای استفاده از API با فرآیند احراز هویت باید با استفاده از راه حل امنیتی API تأیید شوند.
منبع: .infosecurity-magazine