API — interfejsu programistyczny umożliwiający wymianę informacji pomiędzy aplikacjami staje się coraz bardziej popularny do atakowania. Analitycy bezpieczeństwa prognozują, że do 2020 roku naruszenia z wykorzystaniem luk w API staną się najskuteczniejszym wektorem ataków wymierzonych w aplikacje internetowe przedsiębiorstw. Wynika to z coraz większej liczby dostępnych usług, popularności chmur obliczeniowych oraz postępującej informatyzacji życia i biznesu.
API to taka niewidoczna warstwa, która towarzyszy nam każdego dnia. Bez API nie moglibyśmy logować się do e-PUAP. Nie moglibyśmy wysyłać do urzędu skarbowego podpisanych wiadomości i comiesięcznych rozliczeń. Bez API nie moglibyśmy logować się w rządowych portalach za pośrednictwem Zaufanego Profilu. Interfejsy API wykorzystywane są też często do komunikacji pomiędzy systemami IT wyłącznie wewnątrz przedsiębiorstwa (ale nie zawsze). Może się to wiązać z lekceważeniem stosowania wobec nich restrykcyjnej polityki bezpieczeństwa. Pomimo braku dostępu z zewnątrz, nadal powinny być monitorowane pod kątem bezpieczeństwa.
Przedsiębiorstwa powinny być świadome obecności w ich infrastrukturze IT interfejsów API oraz związanego z nimi ryzyka. Należy stale je monitorować, wykrywając wszelkie anomalie, ponieważ nie uda się zabezpieczyć przed problemami, o których się nie wie. Wiele naruszeń z wykorzystaniem API dotyczy przedsiębiorstw, które nie zdają sobie sprawy z tego, że interfejsy te są obecne w ich infrastrukturze IT.
– komentuje Wszebor Kowalski, inżynier techniczny Bitdefender z firmy Marken.
Bardzo poważnym zagrożeniem są luki w usługach oferujących dostęp do danych za pośrednictwem API. Cyberprzestępcy zamiast atakować bezpośrednio infrastrukturę, włamują się na serwery strony internetowej lub aplikacji posiadającej autoryzowany dostęp, w celu kradzieży tożsamości (podszycia się pod nią) lub pozyskania kluczy dostępu. Zdarza się, że w strategii bezpieczeństwa interfejsy API są pomijane. Takie podejście jest bardzo niebezpieczne zwłaszcza, gdy nie idzie w parze z zastanawianiem się nad zabezpieczeniem procesu udostępniania danych.
Środowiska programistyczne zawierają wiele bibliotek, które mogą zagrażać bezpieczeństwu. Należy je klasyfikować i stale monitorować. Warto również kontrolować deweloperów, by ci wykorzystywali najnowsze standardy projektowania aplikacji i ich zabezpieczania.
