Отчет Salt Security о состоянии безопасности API показывает, что количество атак API увеличилось на 681% за последние 12 месяцев


ПАЛО-АЛЬТО, Калифорния.2 марта 2022 г.Соленая безопасностьведущая компания по обеспечению безопасности API, сегодня выпустила Соляные ЛабораторииОтчет о состоянии безопасности API, первый квартал 2022 г.. В своей последней версии полугодовой отчет показал, что 95% опрошенных организаций сталкивались с инцидентами, связанными с безопасностью API, за последние 12 месяцев. Несмотря на резкое увеличение числа атак и инцидентов, эти организации, все из которых используют производственные API, остаются неподготовленными к атакам API, при этом 34% респондентов не имеют какой-либо стратегии безопасности API. Отсутствие защиты представляет собой значительный бизнес-риск для предприятий в виде замедления бизнес-инноваций, подрыва доверия потребителей и срыва усилий по модернизации.

Отчет о состоянии безопасности API основан на сочетании ответов на опросы и эмпирических данных облачной платформы Salt SaaS. Количество попыток атак на клиентов Salt, заблокированных нашей платформой, резко возросло: вредоносный трафик API увеличился на 681% по сравнению с увеличением общего трафика API на 321%. Понятно, что 62% респондентов признали замедление развертывания нового приложения из-за проблем с безопасностью API.

«Чтобы процветать сегодня, каждая компания должна быть компанией-разработчиком программного обеспечения, и API-интерфейсы лежат в основе их инноваций в приложениях. Цифровые компании стали лидерами нашей современной экономики, и в то же время они стали главной мишенью для злоумышленников», — сказал Рой Элиягу, соучредитель и генеральный директор Salt Safety. «Мы наблюдаем, что атаки API значительно ускоряются из года в год. Еще более тревожным является то, что темпы роста использования API и атак продолжают опережать уровень готовности и защиты предприятий. Организации должны потратить время и усилия, чтобы понять ландшафт атак API и критически важные возможности, необходимые для защиты их наиболее важных активов».

Поскольку почти каждый респондент опроса (95%) идентифицировал инцидент безопасности API в своих рабочих API, необходимо срочно разработать надежную стратегию безопасности API. Клиенты Salt также столкнулись с увеличением частоты атак: 12% выдержали в среднем более 500 атак каждый месяц.

«API представляют собой привлекательный вектор атаки, несмотря на все усилия организаций по проверке API перед их выпуском в производство», — сказал Майкл Исбитски, технический евангелист Salt Safety. «Учитывая неспособность традиционных платформ безопасности и управления API защитить от изощренных атак, нацеленных на уникальную бизнес-логику API, неудивительно, что злоумышленники продолжают добиваться успеха, подвергая предприятия риску».

Проблемы безопасности возглавляют список проблем, связанных со стратегиями API (40%).

Респонденты опроса выражают различные опасения по поводу программ API своих компаний, при этом 40% назвали безопасность своей основной проблемой. Недостаточные инвестиции в предпроизводственную безопасность занимают первое место (22 %), а еще 18 % респондентов обеспокоены тем, что программа не обеспечивает должным образом безопасность во время выполнения или в производственной среде. Недостаточные инвестиции в детализацию требований и документации являются главной проблемой для 19% респондентов.

Большинство предприятий не готовы к атаке через API

Широко разрекламированные инциденты с безопасностью и просьбы специалистов по безопасности внедрить средства защиты API оказались недостаточными для того, чтобы побудить большинство организаций принять эффективные стратегии безопасности API. Среди респондентов опроса 34% не имеют никакой стратегии, а чуть более четверти (27%) имеют только базовую стратегию. Только 11% имеют расширенную стратегию, включающую тестирование и защиту API.

Выводы также подтверждают мнение о том, что нехватка бюджета и навыков играют определенную роль в этой неподготовленности. Отсутствие опыта или ресурсов (35%) и бюджетные ограничения (20%) являются главными препятствиями для реализации оптимальной стратегии безопасности API.

Чрезмерная зависимость от практики «сдвига влево» продолжает подводить предприятие

Поскольку защита во время выполнения является фундаментальной для эффективной защиты API, а 95 % респондентов сталкивались с инцидентами, связанными с безопасностью API в течение последнего года, тактика «сдвига влево» для безопасности API оказывается неадекватной. Эта проблема усугубляется тем, что ИТ-команды по-прежнему разделены по поводу «владения» безопасностью API. Более половины респондентов говорят, что основная ответственность лежит на разработчиках, DevOps или DevSecOps. Только 31% респондентов возложили ответственность за безопасность API на команды AppSec или InfoSec.

WAF и шлюзы API продолжают пропускать атаки API

Зависимость от традиционных инструментов безопасности и управления API, таких как брандмауэры веб-приложений (WAF) и шлюзы API, оставила у многих организаций ложное чувство безопасности. Поскольку 95 % респондентов сталкивались с инцидентами, связанными с безопасностью API в прошлом году, тот факт, что 55 % полагаются на оповещения от шлюзов, а 37 % используют WAF для выявления злоумышленников, показывает пробел в возможностях. Использование анализа файлов журналов (45%) для обеспечения безопасности API также неэффективно — к тому времени, когда файлы журналов анализируются, злоумышленники уже давно ушли с ценными данными и полезными нагрузками, которые они искали.

Прекращение атак API остается главным критерием для платформы безопасности API

В третий раз подряд больше респондентов (42%) назвали предотвращение атак API наиболее важной возможностью, которую они ищут в платформе безопасности API. Идентификация того, какие API раскрывают личную информацию (PII) и конфиденциальные данные, занимает второе место (41%). Третье место заняла способность повышать надежность API с течением времени (38%), а соблюдение нормативных требований — четвертое (36%).

Дополнительные выводы из отчета о состоянии безопасности API:

  • Риск «зомби» или устаревших API возглавляет список проблем безопасности API: 43% респондентов назвали это своей главной проблемой. Захват аккаунта занял второе место, при этом 22% сосредоточились на этом риске как на самой большой проблеме.
  • Изменения в API растут: 9% респондентов обновляют свои API каждый день, 31% — еженедельно, а 24% — реже, чем раз в месяц.
  • 94% эксплойтов в клиентской базе Salt происходят против аутентифицированных API.
  • 86% респондентов не уверены, что знают, какие API раскрывают конфиденциальные данные.
  • 85% респондентов отметили, что их текущие инструменты неэффективны в борьбе с API-атаками.
  • 83% респондентов не уверены в своих запасах API.

Безопасность API улучшает работу групп безопасности

Хотя организации сильно расходятся во взглядах на то, кто должен нести ответственность за безопасность API, сотрудничество и совместный вклад между командами безопасности и DevOps расширяются. Более трети респондентов (34%) говорят, что группы безопасности больше сотрудничают с DevOps в результате решения вопросов безопасности API, а еще 30% утверждают, что DevOps запрашивает информацию у групп безопасности для формирования руководств по API. Еще 25% организаций внедряют инженеров по безопасности в команды DevOps в ответ на вызов. Опрос также показал, что все больше групп безопасности обращают внимание на Топ-10 API OWASP список угроз — 61 % в этом отчете против 50 % шесть месяцев назад, положительное изменение для улучшения практики безопасности API в организации.

То Отчет о состоянии безопасности API, первый квартал 2022 г. был составлен исследователями из
Соляные Лабораторииисследовательское подразделение Salt Safety, использующее данные опроса более 250 руководителей и специалистов по безопасности, приложениям и DevOps в дополнение к анонимным и агрегированным эмпирическим данным от клиентов Salt Safety, полученным через Платформа защиты API Salt Safety.

В рамках своей постоянной приверженности образованию Salt Safety проведет первую в отрасли Саммит по безопасности API 3 марта 2022 г., чтобы дать сообществу возможность лучше справляться с растущими проблемами безопасности API. Зарегистрироваться, кликните сюда. Чтобы узнать больше о Salt Safety или запросить демонстрацию, посетите https://content material.salt.safety/.

О солевой безопасности

Salt Safety защищает API-интерфейсы, составляющие ядро ​​каждого современного приложения. Платформа защиты API — это первое в отрасли запатентованное решение для предотвращения следующего поколения атак API, использующее машинное обучение и искусственный интеллект для автоматической и непрерывной идентификации и защиты API. Платформа Salt Safety, развертываемая за считанные минуты, изучает детальное поведение API-интерфейсов компании и не требует настройки или настройки для точного обнаружения и блокировки злоумышленников API. Salt Safety была основана в 2016 году выпускниками Сил обороны Израиля (IDF) и серийными предпринимателями в области кибербезопасности и базируется в Силиконовой долине и Израиле. Для получения дополнительной информации, пожалуйста, посетите
https://salt.safety.

https://cyberxhack.org/