Nije tajna da je curenje podataka postalo glavna briga i za građane i za institucije širom svijeta. Oni mogu uzrokovati ozbiljnu štetu reputaciji organizacije, izazvati značajne finansijske gubitke, pa čak i imati ozbiljne pravne posledice. Od zloglasnog skandala Cambridge Analytic-a do kršenja podataka Equifax-a, došlo je do nekih prilično velikih curenja koja su rezultovala ogromnim posljedicama za najveće svjetske brendove.
Kršenja takođe mogu imati ogroman uticaj i na pojedince, što u konačnici dovodi do gubitka ličnih podataka, kao što su lozinke ili podaci o kreditnoj kartici, koje bi kriminalci mogli koristiti u maliciozne svrhe. Žrtve su najčešće izložene krađi identiteta ili finansijskim prevarama.
Kada razmislite o ogromnom obimu ovih curenja, moglo bi se zamisliti da bi se svijet zaustavio i fokusirao na vektor(e) napada koji se iskorištavaju. Nesrećna stvarnost je da svijet nije stao. Da stvari budu zanimljivije, najistaknutiji vektor napada vjerovatno nije ono što bilo ko misli. Vjerovali ili ne, interfejsi za programiranje aplikacija (API) su vodeći krivac izlaganja i kompromisa.
Tako je, hakeri sve više iskorištavaju API-e kako bi dobili pristup i eksfiltrovali osjetljive podatke. Samo u 2022. godini, 76% profesionalaca za kibernetičku bezbjednost priznalo je da su doživjeli incident vezan za sigurnost API-a. Ako to nije bilo dovoljno za privlačenje pažnje, američke kompanije pretrpile su više od 23 milijarde dolara gubitaka zbog kršenja API-a u istom vremenskom periodu. I nažalost, mnoge organizacije tek počinju da primjećuju.
Uz to, u ovom članku ćemo istražiti potencijalne posljedice curenja podataka, ulogu i uticaj koji API-i imaju, kao i kako se organizacije mogu zaštititi od ovih rizika.
Zaštita podataka koji prolaze kroz Vaše API-e
Ako radite u IT industriji, očigledno je koliko su sigurnosne kontrole bitne kako bi se spriječilo otkrivanje ili curenje osjetljivih podataka. Organizacije moraju poduzeti dodatne korake kako bi zaštitile svoje podatke od neovlaštenog pristupa. Kompanije treba da ulažu u najnovije mjere bezbjednosti i da obezbjede da svi zaposleni budu svesni važnosti zaštite osetljivih informacija. Ako do sada niste dobili sliku, ova vježba bi svakako trebala uključivati ulaganje u sigurnost API-a.
Iznenađujuće za mnoge tehnološke profesionalce, API saobraćaj sada predstavlja preko 80% trenutnog internet saobraćaja, pri čemu API pozivi rastu dvostruko brže od HTML saobraćaja. Kada raspakujete ovu statistiku, postaje brzo jasno da API-i komuniciraju sa svim vrstama podataka, uključujući osjetljive podatke kao što su podaci o kreditnim karticama, zdravstveni kartoni, brojevi socijalnog osiguranja, itd. Međutim, ne posvećuje se toliko pažnje osiguravanju API-a kao što je sigurnost mreže, perimetra i aplikacija. Iskreno govoreći, mnoge organizacije muku muče čak i da znaju koliko API-a zapravo imaju.
Prilično alarmantno, zar ne? Kao što stara poslovica kaže, ne možete zaštititi ono što ne vidite. A bez preciznog inventara API-a i uvida u promet osjetljivih podataka, ne možete na adekvatan način riješiti potencijalne ranjivosti i curenje podataka.
API pristupnici i zaštitni zidovi web aplikacija (WAF) pružaju samo ograničenu vidljivost vašeg API posjeda, jer otkrivaju samo API promet koji se usmjerava kroz njih. Takođe imajte na umu da je API inventar više od broja. Morate znati koliko API-a imate, uključujući API-e za sjenke i zombi API-e, kao i vrste podataka s kojima se oni bave. Što je druga mana WAF-ova i gateway-a, oni jednostavno ne pružaju vidljivost tipova osjetljivih podataka koji prolaze kroz vaše API-e. Bez toga, može doći do strašnih posljedica ako se osjetljivi podaci ikada otkriju.
Pridržavanje propisa o usklađenosti
Kada uzmete u obzir sve veću količinu podataka koji se prikupljaju i pohranjuju, ispunjavanje propisa o usklađenosti podataka jednako je važno za osiguranje osjetljivih podataka. To može zvučati malo čudno s obzirom na to koliko su obe prakse međusobno zavisne, ali usklađenost s podacima pokriva širok raspon tema, uključujući politike privatnosti, mjere sigurnosti podataka i prava korisnika.
Kako bi odgovorili na varijable kao što su industrija, geografija i tip podataka, regulatori širom svijeta nastavljaju da donose i proširuju zahtjeve za način na koji organizacije rukuju osjetljivim informacijama, kao što su GDPR, HIPAA, PCI DSS, CCPA, itd.
Pridržavanje ovih propisa može pomoći u zaštiti privatnosti kupaca, spriječiti kršenje podataka i osigurati da prikupljeni podaci budu sigurni i zaštićeni od neovlaštenog pristupa ili zloupotrebe. Što znači da je prepoznavanje gdje se podaci nalaze, gdje se premještaju, kao i odakle im se pristupa, ključno za osiguravanje usklađenosti i izbjegavanje skupih kazni.
Opet, ovdje API-i igraju glavnu ulogu. API-i su vezivno tkivo između Vaših aplikacija i uređaja. Shvatali vi to ili ne, osjetljivi podaci Vaše organizacije prolaze kroz API-e. Nažalost, ideja održavanja usklađenosti unutar organizacije još uvijek se smatra vježbom koja uključuje isključivo naslijeđenu infrastrukturu. Poslovni i IT lideri moraju brzo da se okrenu jer usklađenost poprima potpuno novu dimenziju s pojavom API-a. Vidljivost API-a bi trebala biti najvažnija jer curenje osjetljivih podataka može dovesti do nekih ozbiljnih kršenja usklađenosti.
Kako osigurati svoje API-e i osjetljive podatke
Tradicionalna sigurnosna rešenja aplikacija su fundamentalna u kibernetičkim sigurnosnim stekovima. Međutim, uprkos svom dosadašnjem uspjehu, API-i predstavljaju jedinstvene sigurnosne izazove koje ova rešenja ne mogu riješiti. Kao što smo ranije utvrdili, API gateway-i i WAF-ovi pružaju samo vidljivost API saobraćaja koji prolazi kroz njih.
Kada je u pitanju posjedovanje pravih alata, morate uložiti u API sigurnosne kontrole kroz životni ciklus razvoja softvera kako biste osigurali da su vaši API-i zaštićeni od koda do proizvodnje. To je zaista jedina opipljiva strategija ako ste ozbiljni u pogledu zaštite Vaših osjetljivih podataka i pridržavanja propisa o privatnosti podataka. Četiri stuba koji čine namjenski izgrađenu API sigurnosnu platformu su otkrivanje API-a, upravljanje držanjem, zaštita tokom rada i testiranje sigurnosti API-a. Pogledajmo svaki i kako Vam pomažu da zaštitite svoje osjetljive podatke:
- Otkrivanje API-a: Otkrivanje API-a Vam omogućava da identifikujete i inventorirate sve svoje API-e u svim izvorima podataka i okruženjima.
- Upravljanje položajem: Upravljanje položajem pruža sveobuhvatan pregled prometa, koda i konfiguracija za procjenu sigurnosnog stava API-a organizacije. Takođe identifikuje sve oblike osjetljivih podataka koji se kreću kroz API-e.
- Runtime Protection: Pokreće se praćenjem zasnovanim na AI i ML-u, alati za vrijeme rada otkrivaju anomalije i potencijalne pretnje u Vašem API prometu i olakšavaju sanaciju na osnovu Vaših unaprijed odabranih politika odgovora na incidente.
- Sigurnosno testiranje API-a: API sigurnosno testiranje nastoji eliminisati ranjivosti prije proizvodnje, smanjiti rizik i na taj način ojačati Vaš program usklađenosti.
Kao što vidite, potrebna je sveobuhvatna API sigurnosna platforma za potpunu kontrolu nad Vašim osjetljivim podacima. Međutim, to takođe može biti pomalo neodoljivo. Uz to, dobro mjesto za početak je upoznavanje sa upravljanjem držanja. Uzimajući u obzir da se na ovom aspektu lične informacije (PII) klasifikuju i organizuju, vjerovatno je najbolje početi ovdje.
Izvor: The Hacker News