چهار نکته اساسی برای به حداکثر رساندن امنیت API
حجم اینترفیسهای برنامهنویسی برنامهها (API) بین سالهای ۲۰۲۰ و ۲۰۲۱ افزایش یافته است. Postman رشد جهانی اکوسیستم API را تأثیرگذار خوانده و اشاره کرد که چگونه شاهد افزایش ۳۹ درصدی در تعداد مجموعههای ایجاد شده تا ۳۰ میلیون بوده است. حتی رشد بیشتر در تعداد درخواستهای API ایجاد شده، با تعداد ۸۵۵ میلیون، که افزایش ۵۶ درصدی را تشکیل میدهد نیز مشاهده شده است.
چرا این یک مزیت محسوب میشود؟
اساساً APIها چندین مزیت را برای سازمانها فراهم میکنند. به گفته تامسون رویترز، APIها میتوانند به سازمانها در صرفهجویی در زمان و منابع با سادهسازی یا حذف کلی وظایف خاص کمک کنند. این میتواند دسترسی سازمانها به دادههایشان و مشارکت در گزارشهای در لحظه کسبوکار را آسانتر کند و در عین حال موارد خطای انسانی را که میتواند کسبوکار را به خطر بیندازد، به حداقل برساند.
با آزاد شدن این منابع، سازمانها میتوانند بر ارائه ارزش به مشتریان خود تمرکز کنند. آنها همچنین میتوانند از APIها برای متمایز کردن خود از رقبای خود از طریق یک یا چند تخصص استفاده کنند. APIها میتوانند به آنها کمک کنند تا نیازهای آن بخشهای خاص را برطرف کنند و در نتیجه فرصتهای تجاری جدید امیدوارکنندهای ایجاد کنند.
چرا گاهی اوقات این یک مشکل محسوب میشود؟
با این حال، APIها میتوانند پیچیدگی و خطرات امنیتی را ایجاد کنند. بر اساس تحقیقات انجام شده توسط Cloudentity، حدود ۹۷٪ از سازمانها به دلیل نگرانیهای امنیتی API در انتشار برنامهها و سرویسهای جدید با تأخیر مواجه شدهاند. تقریباً نیمی از آنها (۴۴٪) این نگرانیها را به عنوان نگرانیهای جدی مربوط به قرار گرفتن در معرض اطلاعات خصوصی و سایر دادهها بیان کردهاند.
گاهی اوقات، سازمانها بیشتر بر روی حفظ زمان تحویل سریع برنامهها تمرکز میکنند تا امنیت APIهای خود. این عدم تعادل به عنوان بودجه ناکافی برای تلاشهای امنیتی API، از جمله آموزش آگاهی از امنیت برای توسعهدهندگان و سایر ذینفعان، ظاهر میشود. با اذعان به این یافتهها، جای تعجب نیست که فقط ۲ درصد از پاسخدهندگان در نظرسنجی به توانایی سازمان خود برای ایمنسازی APIهای خود اطمینان داشتند.
فرصتهایی برای تغییر
بسیاری از سازمانها به دنبال ایجاد تغییر برای امنیت API خود هستند. در نظرسنجی فوق الذکر توسط Cloudentity، حدود ۹۳ درصد از پاسخدهندگان نشان دادند که قصد دارند بودجه و منابع خود را برای امنیت API افزایش دهند. بیش از نیمی (۶۴٪) نوشتند که بودجه آنها میتواند تا ۱۵٪ در آینده افزایش یابد.
این یافتهها سؤال مهمی را مطرح میکند. سازمانهایی که به دنبال به حداکثر رساندن امنیت API خود هستند باید توجه خود را به کجا معطوف کنند؟ در زیر چهار نکته مهم که به این امر کمک میکند، ارائه شده است:
نکته شماره ۱: یک استراتژی مدیریت API را اتخاذ کنید
ابتدا، سازمانها باید یک استراتژی مدیریت API را اتخاذ کنند. Help Net Security اشاره کرد که آنها باید با ارائه فرآیندهای واضح برای طراحی، پیادهسازی و مدیریت API که با الزامات کسبوکار مطابقت دارد، تا حد امکان به شکل پیشگیرانهی، این استراتژی را انجام دهند. به عنوان بخشی از استراتژی خود، سازمانها همچنین باید راههایی را مستند کنند که از طریق آن تیمهای امنیتی بتوانند آسیبپذیریهای مربوط به APIهای خود را شناسایی، بهویژه ۱۰ نقطه ضعف برتر API که توسط پروژه امنیتی برنامههای باز وب (OWASP) شناسایی شدهاند، اولویتبندی و اصلاح کنند. همه عناصر امنیتی دیگر از این پایه یک استراتژی مدیریت API سرچشمه میگیرند، بنابراین مهم است که آن را به درستی انجام دهید و با تکامل کسبوکار، آن را بازبینی و به روز کنید.
نکته شماره ۲: همه APIهای آنها را پیدا کنید
با وجود یک استراتژی مدیریت API، سازمانها میتوانند تمام APIهای خود را در هر کجا که ساکن هستند کشف کنند. با این حال، آنها باید در مورد نحوه برخورد با این مرحله، استراتژیک برخورد کنند. به عنوان مثال، IT همیشه در مورد همه APIهای مورد استفاده در سازمان نمیداند، بنابراین تکیه بر فرآیندهای کشف دستی آنها میتواند نقاط کور بحرانی ایجاد نماید.
سازمان Salt Security با این ارزیابی موافق است. آنها در یک پست وبلاگ توضیح دادهاند: «مستندسازی API، اگرچه به خودی خود بهترین روش است، اما ممکن است به طور مداوم انجام نشود. کشف خودکار اندپوینتهای API، پارامترها و انواع دادهها برای همه سازمانها ضروری است.»
با در نظر گرفتن این موضوع، سازمانها باید APIها را در تمام محیطهای خود نه فقط تولید، بلکه کشف کنند که شامل وابستگیهای API و برچسبگذاری APIهای خود به عنوان بهترین عمل و شکل DevOps است.
نکته شماره ۳: افزایش آگاهی کارکنان از امنیت API
سازمانها اگر نیروی کار آنها تهدیدات موجود را درک نکنند، نمیتوانند انتظار داشته باشند که همه از شیوههای امنیتی API پیروی کنند. برای رفع این مشکل، آنها میتوانند از آموزش آگاهی امنیتی برای آموزش کارکنان خود در مورد حملات مبتنی بر API و نحوه تهدید آنها برای کسبوکار استفاده کنند. فوربز نوشت، این تلاشها به برقراری امنیت در مراحل طراحی، ساخت و استقرار نرمافزار کمک میکند. همچنین مکمل ابتکارات DevSecOps است که برای ارتقای همکاری بین تیمهای توسعه برنامه، امنیت و عملیات طراحی شدهاند.
نکته ۴: به Zero Trust برسید
در نهایت، سازمانها باید Zero Trust را به عنوان هدف خود در نظر بگیرند. یک رویکرد Zero trust میتواند به تیمهای امنیتی کمک کند تا به طور مداوم سرویس، درخواستکننده و مشتری را تأیید کنند، بنابراین تهدیدات حملات API را به حداقل میرساند. تیمها همچنین میتوانند از Zero Trust برای ممیزی آن درخواستها برای نشانههای ایجاد خطر و شاخصهایی که سپس میتوانند برای محدود کردن دامنه یک حادثه بر اساس آنها عمل کنند، استفاده کنند.