چشمانداز تهدیدات سایبری رو به تغییر است. امروزه با نوع جدیدی از تهدیدات پیچیده روبرو هستیم که از APIها به عنوان مسیر حمله اصلی استفاده میکنند. بر اساس گزارش مؤسسه گارتنر، در سال 2022 میلادی APIها به مهمترین مسیر حمله برای برنامههای کاربردی تحت وب سازمانی تبدیل شدند. از آنجا که بسیاری از مشاغل عملیات خود را به بستر ابر منتقل میکنند و دادههای بیشتری به APIها وارد میشود، شاهد افزایش چشمگیر حملات مبتنی بر API (از جمله رخنه اطلاعاتی Optus) هستیم. در این مطلب این تهدید و تدابیر امنیتی مفید برای مقابله با آن را به صورت مختصر مورد بررسی قرار میدهیم.
محبوبیت روز افزون APIها
APIها یک روش کارآمد برای استفاده از دادهها و امکانات ارائه شده در سرویسها و برنامههای کاربردی سازمانی هستند و با توجه به قابلیت ویژهشان در برقراری ارتباط بین سیستمهای مختلف، به محبوبیت زیادی دست یافتهاند. سازمانها نیز از این ابزارها برای ایجاد برنامههای کاربردی پیچیده که پایه و اساس مدل کسبوکارشان را تشکیل میدهند استفاده میکنند.
برای مثال، API یک بانک امکان دسترسی به اطلاعات حساب شما را از طریق یک سایت یا نرمافزار همراه فراهم میکند. همچنین ممکن است سازمانها از APIها برای فرایندهای داخلی مثل مدیریت موجودی یا صدور صورتحساب استفاده کنند. استفاده از APIها نه تنها باعث تسریع و سهولت در انجام کارها میشود بلکه فرصتی برای رشد و نوآوری از طریق ادغام با سرویسها یا پلتفرمهای خارج از کنترل سازمان فراهم میکنند اما توجه چندانی به جنبه امنیت APIها ندارند.
حملات API
از آنجا که افراد و برنامههای کاربردی زیادی از APIها استفاده میکنند، امکان استفاده از این ابزارها به روشهای مختلف وجود دارد. هکرها نیز از چنین فرصتی به نفع خود سوءاستفاده میکنند. بنابراین در سالهای اخیر حملات مبتنی بر API به طور چشمگیری افزایش یافتهاند. با توجه به توان مقاومتی نه چندان بالای APIها و افزایش پیوسته حملات مبتنی بر API ، اگر سازمانها فرایندهای مدیریت تهدید لازم را پیادهسازی نکنند با مشکلات جدی در این زمینه مواجه میشوند. براساس آمار و نتایج تحقیقات صورت گرفته بیش از 90 درصد سازمانها حداقل یک حادثه امنیتی مربوط به API را در ماههای اخیر تجربه کردهاند و ترافیک حملات API تا 681 درصد افزایش یافته است. همچنین آسیبپذیریهای API سالانه تا 75 میلیارد دلار هزینه ایجاد میکنند.
تهدیدات رایج برای امنیت API عبارتند از:
- حملات بدافزاری و DDoS: در حملات DDoS حجم زیادی ترافیک به سمت یک سایت فرستاده شده و منجر به خارج شدن آن از دسترس میشود. ممکن است حملات DDoS توسط باتنتها انجام شوند. باتنتها گروهی از دستگاههای اینترنت اشیا هستند. بدافزارها این دستگاهها را آلوده کرده و تبدیل به رباتهایی برای ارسال پیوسته درخواستهایی میکنند. سایر حملات بدافزاری شامل تزریق SQL و پرکردن اعتبارنامههای کاربری هستند.
- ضعف مدیریت داراییها: نسخههای قدیمیتر API در معرض رخنههای اطلاعاتی و حملات سایبری قرار دارند. این وضعیت مشابه ضعف مستندسازی است که دادههای حساس را در معرض تهدیدات ناشناخته قرار داده و منجر به ایجاد آسیبپذیری میشود. ممکن است مهاجمان نسخههای غیرتولیدی و حفاظت نشده API مثل نسخههای بتا یا آزمایشی را پیدا کرده و از آنها در حمله استفاده کنند.
- پیکربندی نادرست APIها: اگر پیکربندی برنامه کاربردی تحت وب بنحوی باشد که دادهها و قابلیتها را در معرض سوءاستفاده هکرها قرار دهد، این پیکربندی چندان ایمن نیست. مهاجمان از سرورهای API با پیکربندی ضعیف که شامل سیستمهای پچ نشده یا پوشهها و فایلهای حفاظت نشده هستند، سوءاستفاده میکنند. آنها سیستمهایی با هدرهای HTTP غلط، پیکربندیهای پیش فرض ناامن، پیامهای خطای طولانی (حاوی اطلاعات مفید برای هکرها) و غیره هستند را مورد هدف قرار میدهند.
ضرورت ایمنسازی APIها
همه سازمانها باید تدابیر لازم را برای ایمنسازی API در همه سطوح انجام دهند از جمله حفاظت از آنها در برابر سوءاستفادههای داخلی و خارجی. در غیر این صورت، مخاطرات وقوع رخنههای امنیتی مثل آنچه برای شرکتهای اوبر و اکوئیفاکس رخ داد، وجود داد. سازمانها میتوانند برای انجام این کار از اصول اعتماد صفر جهت ایمنسازی API استفاده کنند. تیمهای امنیت برنامههای کاربردی باید ایمنی نقاط پایانی را افزایش دهند تا قابلیت مقابله با سطوح احراز هویت، صدور مجوز و پیشگیری از تهدید را داشته باشند. به این ترتیب، امکان دسترسی هکرها به سیستمها و شبکهها به راحتی وجود ندارد. در زمینه حفاظت از API و کاربران آن در برابر نقایص امنیتی، نباید از رویدادهای مشکوک غافل شوید. مشکلات امنیتی معمولاً در قالب رفتارهای غیرعادی نمایان میشوند. با توجه به این نشانهها میتوانید با این خطرات مقابله کنید.
سازمانها همچنین باید جهت تشخیص تلاش کاربران احراز هویت شده برای دسترسی به دادههای کاربران دیگر، از راهکارهای امنیت API استفاده کنند. در این زمینه، باید همه گزینههای احراز هویت API را بررسی کنید. باید همه مسیرهای استفاده از API با فرایند احراز هویت را با کمک یک راهکار امنیت API بررسی کرد.
منبع: .infosecurity-magazine