ככל שחברות מציעות כמות גדולה ומגוונת יותר של שירותים דיגיטליים לקהל הצרכנים, כך מפתחים נמשכים לפלטפורמות ענן חדשות וקלות לשימוש שמאפשרות להם להציג תוצאה מהירה של פיצ’רים חדשים. כתוצאה מכך צוותי אבטחת מידע מתמודדים בתקופה זו עם אתגרים חדשים שעיקרם ניהול ואבטחה של אפליקציות באינטרנט הציבורי.
בניגוד לעבר, כעת ניתן לעקוף גישות מסורתיות, כמו למשל חומות אש (FIREWALL) של מרכזי נתונים או חומות אש של יישומי אינטרנט (WAF), דבר שמוביל את הצורך להערכה מחודשת של כל תוכניות האבטחה הקיימות. שכן, המיקוד צריך להיות סביב הפגיעות של שכבות האפליקציה בבסיס.
חברות כיום צריכות להיות “חמושות” בבדיקות ברמה גבוהה יותר וזאת על מנת להבין אם פונקציות שונות, כמו למשל אימות, הרשאה, זמינות והצפנה פועלות כראוי בכל הקשור אל מערך האבטחה. דבר זה חיוני לגבי תעשיות עליהם מפקחים בכבדות, תעשיות אשר מאחסנות נתונים רגישים מאוד, כמו למשל שירותי בריאות ופיננסים.
ממשקי תכנות יישומים (API) הכרחיים
ללא API לא יהיה מחשוב ענן, מדיה חברתית או אינטרנט של דברים (LOT). ממשקי API מעבירים מידע דרך אפליקציית full stack וברחבי האינטרנט. כאן מדובר על הדבק שמצליח לשמור על השינוי הדיגיטלי והחדשנות שלמים ולהוביל אותם קדימה.
נכון להיום 40% מהתקיפות של האפליקציות האינטרנטיות (אפליקציות ווב), מגיעות דרך ה- API במקום דרך ממשקי המשתמשים. ההשערה היא שהאחוזים יעלו ויגיעו ל – 90% בשנת 2021. כיוון שממשקי תכנות יישומים עוזרים להרחיב את העסק, מייעלים תהליכים והופכים את החיים להרבה יותר קלים למפתחים, ממשקים אלו הכרחיים לעסקים ולכן הם ממשיכים להתרחב. במקביל ובהתאמה מלאה, חלה גם עלייה אצל התוקפים (האקרים) אשר מחפשים ההזדמנויות לזרוע הרס על ארגונים. אותם ממשקי API מהווים לצערנו משטח התקפה עצום ומתרחב.
חשוב לדעת שממשקי API הם לרוב המקור להפרות נתונים ולנתונים דולפים. עם כל שירותי המיקרו הללו, קיים קוד בכמות גדולה אותו ממקמים בענן או באפליקציות ווב , מה שמקשה על כל הקשור אל המלאי, הערכת הסיכון ואבטחת כמויות עצומות של ממשקי API. ניתן לומר שממשקי API מהווים כיום מאין מפת אוצרות עבור האקרים, מפה אשר עוזרת להם למצוא אותו הוקטור אשר פגיע ביותר להעלאת נתונים.
ראו גם: שירותי SIEM SOC »
מאבטחים את כל ממשקי תכנות היישומים – API
טרם נתחיל לגעת בכל הקשור אל אבטחת API, השאלה הגדולה אותה אנחנו צריכים לשאול את עצמנו היא : מהו אותו תהליך לגילוי APIs או מיקרו-שירותים חדשים או כאלו שהשתנו? האם אכן נוכל לומר שאנחנו יודעים איפה כל ה- API שלנו? מאלה שאנחנו כן יכולים לאתר, מה מצב האבטחה שלהם?
הגילוי של API יכול לשנות הכל לגבי הגישה של חברה זו או אחרת לכל הקשור אל אבטחת יישומים. זהו הצעד הראשון בהמחשת כל משטח ההתקפה של היישום. לא רק שמוסיפים את ממשקי API באופן רציף ליישום, אלא שלעיתים צורכים ומנצלים אותם ממפתחי צד שלישי וספריות קוד פתוח.
אסטרטגיית האבטחה הטובה ביותר והגישה הנכונה ביותר צריכות לכלול מודעות בכל שעות היממה על כל ממשק API שנעשה בו שימוש ועל כל נתוני המידע של הלקוח אשר עוברים תהליך של עיבוד שעובדים על ידי ממשקי ה- API הללו בכל שכבה ושכבה של מחסנית אחסון המידע של האפליקציה.
ראו גם: אבטחת מידע בענן »
לדוגמה, יישומים ניידים יכללו בדרך כלל 12 עד 18 ערכות SDK של צד שלישי, שזה אומר שיהיו חייבים לסרוק סטטית ודינמית אפליקציית מובייל סטנדרטית בכדי לראות אם אין בקוד המקורי שלה ובקוד הפתוח שלה בעיות אבטחה.
מכיוון שניתן לקרוא לממשקי API מכל מקום ב – STACK היישומים בכדי לגשת לנתונים, מה שמאפשר לאפליקציה הסלולרית שלך לתפקד כאותו ‘כלי רכב’ יחיד עבור מספר משתמשים, הם מספקים בו זמנית נקודות כניסה בודדות לנתוני מידע רגישים שמאוחסנים ב – STACK. נכון להיום רוב החברות רוכשות סורקי אפליקציות לנייד או שוכרות את שירותיהם של יועצים וזאת על מנת שאלו יבצעו ביקורת רבעונית במטרה לאתר סיכונים שונים. לצערנו, דבר זה אינו מספיק בכדי לאתר סיכונים שונים המתרחשים באופן יומיומי ב- ב- API עד שמאוחר מדי.
ראו גם: פתרונות מחשוב לעסקים »
בדומה לאפליקציות של ניידים, גם לאותם סורקי אפליקציות סטנדרטיים אין את היכולת לתובנות ל – SPAS (יישומי עמוד יחיד) וזאת משום האופי הדינמי בזמן אמת של ארכיטקטורת ה- SPA. הם לא יודעים כיצד להסתכל ולאתר את אותה שכבת הובלת הנתונים של ה-API שהפכה את הארכיטקטורה החדשה של אפליקציות האינטרנט הללו לכה פופולאריות בקרב מפתחים רבים.
אבטחת API מהשורה הראשונה מחייבת ניתוח אבטחה מלא של אפליקציות אינטרנט ומובייל. דאטה לרוב מתחילה בשכבת הלקוח באמצעות אפליקציית ווב או במובייל וזאת לפני שהיא מועברת לענן. אבטחת נתוני מידע רגיש והגנה על פרטיות המשתמשים מהווים מאמץ מתמיד, מאמץ אשר מצריך ניתוח סיכונים ופגיעות עקבי וממושך ממובייל לווב ועד לשירותי ענן. נכון להיום רוב ההאקרים מתמקדים ומנצלים את שכבת הלקוח ומשתמשים לטובתם בסשנים של יוזרים, סיסמאות וטוקנים אותם השאירו המשתמשים באפליקציית המובייל או ב- SPAS.
הגנה על ממשקי API גם מחייבת תיקון אוטומטי שמשולב במלואו בצינור ה- CI / CD. הכוונה היא לא לכלי הערכה אשר משולבים בצינור ה- CI / CD ומדווחים על נקודות תורפה למערכות כמו ג’נקינס, בוגזילה וג’ירה. הכוונה היא שמה שנדרש הוא תיקון אוטומטי של הבעיות בצינור ה- CI / CD. במקום להמתין לאימות ידני של אותן בעיות ואז לתקן אותם, אבטחת ה- API של ימינו זקוקה לתיקונים אוטומטיים, דבר שישחרר את המפתחים מבזבוז זמן בניסיונות לפתור בעיות נפוצות.
ראו גם: שירותי ענן של אמזון AWS »
ניתן לקחת את הדברים אפילו עוד צעד קדימה וזאת באמצעות אבטחת API ברמה מתקדמת. אבטחה זו יכולה להציע כלי פריצה אוטומטיות לצורך הערכות מתוכננות לפני הייצור. בדומה לתרחיש שתואר במאמר זה, שוכרים את שירותיהם של האקרים בעלי כובעים לבנים בכדי שהם יערכו טסטים של חדריה בסביבת טרום ייצור. במסגרת אותן אפשרויות מתקדמות ניתן להשתמש בכלים שתפקידם לבצע את אותן פעולות פריצה של האקרים, אך באופן רציף. שימוש בכלים לא רק אפקטיבי יותר אלא יש לקחת בחשבון שכלים אלו מבצעים את העבודה באופן רציף במטרה לאתר סיכונים שונים ולתקן אותם.
לסיכום,
ניתן לומר שממשקי API חיוניים. שכן הם עוסקים בחיבור ושיתוף פעולה וזאת על מנת לשתף מידע, אך תמיד יש לוודא שהנתונים הרגישים לא נשארים “עירומים ברשת” ושלא ניתן להגיע אליהם באמצעות יישומי סלולר, אינטרנט וענן המשמשים את הציבור הרחב.