Программные интерфейсы веб-приложений (API) становятся все более популярными, вызывая всевозможные проблемы с кибербезопасностью.
Об этом говорится в новом отчете Noname Security, в котором 3000 сотрудников 350 компаний опросили о проблемах, связанных с API.
Компания обнаружила, что в наши дни API-интерфейсы чрезвычайно популярны: в среднем организация использует в общей сложности 15 564 API, что на 201% больше, чем в прошлом году.
инциденты безопасности
Однако многие компании сталкиваются с проблемами. Более двух из пяти (41%) сталкивались с инцидентами кибербезопасности, связанными с API, за последние двенадцать месяцев, причем почти две трети (63%) были связаны с утечкой или потерей данных.
Например, одна из крупнейших платформ автоматизации маркетинга и сервисов электронного маркетинга, MailChimp, была взломана злоумышленниками, которые также получили доступ к API-ключам (ныне несуществующим) неизвестного количества клиентов.
С помощью ключей злоумышленники могли создавать собственные кампании по электронной почте и отправлять их в списки рассылки, не заходя на клиентский портал MailChimp.
Почти все компании (90%) используют политики аутентификации API, но треть (31%) заявили, что не совсем уверены, что эти политики обеспечивают адекватный уровень защиты.
Кроме того, у трети (35%) проекты были отложены из-за проблем с безопасностью API, а 87% считают, что интеграция тестирования безопасности API в конвейеры разработчиков могла бы предотвратить задержки.
Около половины (51%) полностью доверяют своим реестрам API, а четверть (26%) добавляют, что их процессы обновления реестров выполняются вручную.
«Поскольку использование API продолжает расти, этот экстремальный уровень использования и зависимости привел к появлению множества уязвимостей, что делает защиту этих API в разных отраслях более важной, чем когда-либо», — сказал Дэниел Кеннеди, главный аналитик 451 Research.
«Этот отчет должен помочь компаниям любого размера в самых разных отраслях принимать обоснованные решения, необходимые им при разработке стратегии безопасности API».
