Portal bezpiecznego e-biznesu

API na celowniku cyberprzestępców

 API na celowniku cyberprzestępców

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi

Stale rośnie popularność API - interfejsu programistycznego, który umożliwia wymianę informacji pomiędzy aplikacjami. Wynika to z coraz większej liczby dostępnych usług, popularności chmur obliczeniowych oraz postępującej informatyzacji życia i biznesu.

API na celowniku cyberprzestępców

Analitycy bezpieczeństwa prognozują, że do 2020 roku naruszenia z wykorzystaniem luk w API staną się najskuteczniejszym wektorem ataków wymierzonych w aplikacje internetowe przedsiębiorstw.

Środowiska programistyczne zawierają wiele bibliotek API, które mogą zagrażać bezpieczeństwu. Należy je klasyfikować i stale monitorować. Dostępne są specjalistyczne narzędzia stworzone w tym celu. Warto również kontrolować deweloperów w celu identyfikowania użytych bibliotek API.

Zdarza się, że w strategii bezpieczeństwa interfejsy API są pomijane, często słyszane jest „chcemy udostępnić nasze dane…”. Takie podejście jest bardzo niebezpieczne zwłaszcza, gdy nie idzie w parze z zastanawianiem się nad zabezpieczeniem procesu udostępniania danych.

API niesamowicie upraszcza korzystanie z usług firm trzecich we własnych rozwiązaniach. Często są to mapy, bazy wiarygodności kredytowej czy kursy walut. Należy jednak zastanowić się na tym co się stanie, kiedy podmiot trzeci odmówi dostępu albo nastąpi u niego naruszenie infrastruktury. Często brakuje w organizacjach scenariuszy postępowania w takich przypadkach.

Interfejsy API wykorzystywane są często do komunikacji pomiędzy systemami IT wyłącznie wewnątrz przedsiębiorstwa. Może się to wiązać z lekceważeniem stosowania wobec nich restrykcyjnej polityki bezpieczeństwa. Pomimo braku dostępu z zewnątrz, nadal powinny być monitorowane pod kątem bezpieczeństwa.

Bardzo poważnym zagrożeniem są luki w usługach oferujących dostęp do danych za pośrednictwem API. Cyberprzestępcy zamiast atakować bezpośrednio infrastrukturę, włamują się na serwery strony internetowej lub aplikacji posiadającej autoryzowany dostęp, w celu kradzieży tożsamości (podszycia się pod nią) lub pozyskania kluczy dostępu.

Przedsiębiorstwa powinny być świadome obecności w ich infrastrukturze IT interfejsów API oraz związanego z nimi ryzyka. Należy stale je monitorować, wykrywając wszelkie anomalie, ponieważ nie uda się zabezpieczyć przed problemami, o których się nie wie. Wiele naruszeń z wykorzystaniem API dotyczy przedsiębiorstw, które nie zdają sobie sprawy z tego, że interfejsy te są obecne w ich infrastrukturze IT - mówi Wszebor Kowalski, inżynier techniczny Bitdefender z firmy Marken.

Komentarze

‹ Poprzedni artykułSkuteczność doręczenia oświadczenia woli wysłanego e-mailem Następny artykuł ›Jak wybrać legalnego polskiego bukmachera?

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci. Wcale nie spam. Zapisz się do Newslettera.

Drukarnia Fortuny - kalendarze

Adwokat Art. 178A KK Katowice

Legalniewsieci.pl © 2024. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się