Использование API (Application Programming Interface) корпоративными приложениями стало неотъемлемой частью современной ИТ-инфраструктуры. API обеспечивают интеграцию различных систем, обмен данными и масштабирование бизнес-процессов. Однако, с увеличением их роли в корпоративной среде возрастает и уровень угроз, связанных с кибератаками, направленными на уязвимости интерфейсов. Редакция CISOCLUB обсудила с Никитой Черняковым, руководителем департамента развития бизнеса решений ИБ компании Axoft, какие угрозы наиболее актуальны для защиты API корпоративных приложений сегодня, и как они эволюционируют в условиях меняющегося ландшафта киберугроз?
Никитой Черняковым
Руководителем департамента развития бизнеса решений ИБ компании Axoft
Масштабы потенциальных рисков от недостаточной защиты корпоративных API, как мне кажется, достаточно сильно недооценены со стороны представителей служб информационной безопасности компаний. Если говорить про объемы использования API, то можно привести данные из отчета «2024 API Security and Management Report» от Cloudflare – в каждом регионе присутствия, который защищает Cloudflare, трафик API составил более половины динамического HTTP-трафика (Европа – 57,7%, Средний Восток – 60,4%). При этом основная угроза безопасности, которая выделяется многими исследователями и авторами – это так называемый «теневой API» – скрытый, недокументированный API, на который при этом есть трафик. Не зная о существовании такого API, компании не могут ни управлять им, ни защищать его. По данным того же отчета, на долю теневого API приходится до 30% от общего числа.
Стоить отметить, что профессиональные сообщества все больше внимания уделяют вопросу защиты API: в марте 2022 года был выпущен обновленный стандарт PCI DSS версии 4.0, в котором напрямую затрагивались вопросы безопасности API. А в 2023-ем вышла вторая версия OWASP API Security Top 10, в котором перечислены 10 главных рисков безопасности API. Данная информация является полезной как для понимания основных угроз использования API, так и для выработки методики и выбора средств защиты корпоративных API.
Источник: CISOCLUB
Поделиться
Популярное
День Positive Technologies в Axoft
Онлайн-мероприятие
20 июня
Axoft Online: новый стандарт ИТ-дистрибуции
Онлайн-мероприятие
20 июня
«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК
Новость
20 июня
Axoft: решения Start X помогут минимизировать риски человеческого фактора и повысить безопасность разработки
Новость
19 июня
Другие новости
20 июня
«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК
«Софтлайн Решения», поставщик продуктов и услуг в области цифровой трансформации и информационной безопасности, и центр экспертизы и дистрибуции цифровых технологий Axoft реализовали комплексный проект по защите «Уральской энергетической строительной компании» (УЭСК) от кибератак после инцидента с шифрованием данных.
19 июня
Axoft: решения Start X помогут минимизировать риски человеческого фактора и повысить безопасность разработки
Axoft подписал дистрибьюторское соглашение с разработчиком программного обеспечения в сфере кибербезопасности Start X (ООО «Антифишинг»).
18 июня
Пять серверов OpenYard вошли в реестр Минпромторга
Минпромторг РФ включил в реестр российской промышленной продукции сразу пять моделей серверов четвертого и пятого поколения от компании OpenYard — по итогам проведенной экспертизы в него вошли конфигурации из семейств RS102I и RS202I.
17 июня
Axoft начал сотрудничество с разработчиком решений класса GRC
Центр экспертизы и дистрибуции цифровых технологий Axoft и производитель корпоративных IT-решений, компания «Технологии. Автоматизация. Бизнес.», объявляют о старте сотрудничества.