API twojej firmy może być na celowniku cyberprzestępców

25 stycznia, 2019

API — interfejsu programistyczny umożliwiający wymianę informacji pomiędzy aplikacjami staje się coraz bardziej popularny do atakowania. Analitycy bezpieczeństwa prognozują, że do 2020 roku naruszenia z wykorzystaniem luk w API staną się najskuteczniejszym wektorem ataków wymierzonych w aplikacje internetowe przedsiębiorstw. Wynika to z coraz większej liczby dostępnych usług, popularności chmur obliczeniowych oraz postępującej informatyzacji życia i biznesu.

API to taka niewidoczna warstwa, która towarzyszy nam każdego dnia. Bez API nie moglibyśmy logować się do e-PUAP. Nie moglibyśmy wysyłać do urzędu skarbowego podpisanych wiadomości i comiesięcznych rozliczeń. Bez API nie moglibyśmy logować się w rządowych portalach za pośrednictwem Zaufanego Profilu. Interfejsy API wykorzystywane są też często do komunikacji pomiędzy systemami IT wyłącznie wewnątrz przedsiębiorstwa (ale nie zawsze). Może się to wiązać z lekceważeniem stosowania wobec nich restrykcyjnej polityki bezpieczeństwa. Pomimo braku dostępu z zewnątrz, nadal powinny być monitorowane pod kątem bezpieczeństwa.

Przedsiębiorstwa powinny być świadome obecności w ich infrastrukturze IT interfejsów API oraz związanego z nimi ryzyka. Należy stale je monitorować, wykrywając wszelkie anomalie, ponieważ nie uda się zabezpieczyć przed problemami, o których się nie wie. Wiele naruszeń z wykorzystaniem API dotyczy przedsiębiorstw, które nie zdają sobie sprawy z tego, że interfejsy te są obecne w ich infrastrukturze IT.

– komentuje Wszebor Kowalski, inżynier techniczny Bitdefender z firmy Marken.

Bardzo poważnym zagrożeniem są luki w usługach oferujących dostęp do danych za pośrednictwem API. Cyberprzestępcy zamiast atakować bezpośrednio infrastrukturę, włamują się na serwery strony internetowej lub aplikacji posiadającej autoryzowany dostęp, w celu kradzieży tożsamości (podszycia się pod nią) lub pozyskania kluczy dostępu. Zdarza się, że w strategii bezpieczeństwa interfejsy API są pomijane. Takie podejście jest bardzo niebezpieczne zwłaszcza, gdy nie idzie w parze z zastanawianiem się nad zabezpieczeniem procesu udostępniania danych.

Środowiska programistyczne zawierają wiele bibliotek, które mogą zagrażać bezpieczeństwu. Należy je klasyfikować i stale monitorować.  Warto również kontrolować deweloperów, by ci wykorzystywali najnowsze standardy projektowania aplikacji i ich zabezpieczania.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]