Программные интерфейсы веб-приложений (API) становятся все более популярными, вызывая при этом всевозможные проблемы кибербезопасности.
Это согласно новому отчету компании Noname Security, которая опросила 3000 сотрудников 350 компаний о проблемах, связанных с API.
Компания обнаружила, что в наши дни API чрезвычайно популярны: средняя организация использует в общей сложности 15 564 API, что на 201% больше, чем в прошлом году.
Инциденты безопасности
Однако многие компании сталкиваются с проблемами. За последние двенадцать месяцев более двух из пяти (41%) столкнулись с инцидентами кибербезопасности, связанными с API, причем почти две трети (63%) были связаны с утечкой или потерей данных.
Например, одна из крупнейших платформ автоматизации маркетинга и служб электронного маркетинга MailChimp была взломана злоумышленниками, которые также получили доступ к (ныне несуществующим) API-ключам неизвестного числа клиентов.
С помощью ключей злоумышленники могли создавать собственные кампании по электронной почте и отправлять их в списки рассылки, не обращаясь к клиентскому порталу MailChimp.
Почти все компании (90%) имеют политику аутентификации API, но треть (31%) заявили, что не совсем уверены, что эти политики обеспечивают адекватный уровень защиты.
Кроме того, у трети (35%) реализация проектов была отложена из-за проблем с безопасностью API, а 87% считали, что интеграция тестирования безопасности API в конвейеры разработчиков могла бы предотвратить задержки.
Около половины (51%) полностью уверены в своих запасах API, а четверть (26%) добавляют, что процессы обновления их запасов выполняются вручную.
«Поскольку использование API продолжает расти, этот экстремальный уровень использования и зависимости привел к появлению множества уязвимостей, что делает безопасность этих API в различных отраслях более важной, чем когда-либо», — сказал Дэниел Кеннеди, аналитик-исследователь компании Main 451 Research.
«Этот отчет должен помочь компаниям любого размера в различных отраслях принимать обоснованные решения, необходимые им при разработке стратегии безопасности API».