Приложните програмни интерфейси се превърнаха в основна повърхност за атака – притегателна сила за киберпрестъпниците и ключова слабост за бизнесите, сочи проучване на специалисти по ИТ ситгурност.
Налице е нарастваща разлика между темпото на внедряване на софтуер и контролите за сигурност около него. Организациите внедряват API без достатъчно тестване или защита, което прави системите им уязвими, след като бъдат пуснати в експлоатация, според проучване на Akamai.
Сигурността на API се издига нагоре в корпоративния дневен ред. Близо 80% от анкетираните предприятия я класират сред трите си основни приоритета за киберсигурност, което може да се тълкува като знак, че API-тата вече имат централна роля за свързването на приложения, услуги и данни в съвременния бизнес.
В същото време обаче много компании все още изглежда нямат персонал и видимост, необходими за управление на риска. Само 53% от организациите заявяват, че имат специален персонал, отговорен за сигурността на API. Само 27% от предприятията с пълни API инвентаризации заявяват, че знаят кои API излагат чувствителни данни.
Намесата на изкуствения интелект
Внедряването на изкуствен интелект се очертава като основен фактор за сигурността и рисковете. Екипите по киберзащита класират осигуряването на технологии с изкуствен интелект като свой основен приоритет за следващата година.
42% от анкетираните заявяват, че API, свързани с приложения с изкуствен интелект, агенти и големи езикови модели, са били обект на кибератаки през последните 12 месеца.
Резултатът допълнително засилва опасенията, че бизнесите разширяват използването на изкуствен интелект по-бързо, отколкото адаптират своите процеси за сигурност. API често служат като отворен път, през който AI инструментите получават достъп до фирмените данни, услуги на трети страни и вътрешни системи – а това ги прави директна точка на излагане, когато контролът е слаб.
Проучването също така подчертава разликата между възприятията на ръководството и оценките на техническите екипи за готовност. Четиридесет процента от ръководителите от висшия мениджмънт съобщават за напреднала зрялост на API тестването, в сравнение с едва 28% от екипите DevSecOps.
Тези данни предполагат, че висшето ръководство може би има по-оптимистичен поглед върху практиките за сигурност от тези, които са отговорни за внедряването.
Натиск върху финансовия бранш
Финансовите услуги се открояват като сектор, най-силно изложен на атаки, свързани с API. Почти всички респонденти в тази индустрия, или 96%, заявяват, че са претърпели поне една атака, свързана с API, през последните 12 месеца.
API инцидентите са не само чести, но и скъпи, особено в индустрии, които зависят от непрекъснатост на дейностите, чувствителни данни или сложни цифрови вериги за доставки.
Разходите, произтичащи от инцидент, могат да включват усилия за реагиране, прекъсване на услугите, регулаторни снкции и странични ефекти от компрометираните системи.
Мащабът на проблема се увеличава, тъй като бизнесите добавят повече API, за да поддържат цифрови услуги и инструменти с изкуствен интелект, казва Шон Лайънс, старши вицепрезидент и генерален мениджър „Сигурност на приложенията и инфраструктурата“ в Akamai.
„Бързото разширяване на повърхността за API атаки означава, че организациите, които разчитат в голяма степен на API, са изправени пред значителни рискове, финансово въздействие и компрометирана видимост“, каза Лайънс.
По неговите думи, че много компании все още се борят да поддържат ясна картина за това какво са внедрили.
