تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
هناك شيئان صحيحان في مجال الأمن السيبراني.
أولاً: أصبحت الثقة المعدومة واحدة من أكثر الأطر التي تم الحديث عنها وفاعلية للأمن الرقمي. ثانيًا: الاستخدام المتفشي لواجهات برمجة التطبيقات ونقاط الضعف التي تشكلها جعلت من الصعب على الشركات حماية بياناتها وأصولها أكثر من أي وقت مضى.
على الرغم من أنه قد يبدو أن الحل يكمن في تطبيق ممارسات عدم الثقة في واجهات برمجة التطبيقات ، إلا أن الأمر ليس بهذه البساطة. ذلك لأن تأمين واجهات برمجة التطبيقات يوفر تحديات فريدة: فهي جزء من المشهد المتغير باستمرار ، وتجذب الهجمات المنخفضة والبطيئة المصممة بشكل فريد لواجهة برمجة التطبيقات وتجعل من الصعب تطبيق تكتيكات التحول إلى اليسار التي تتضمن الأمان في مرحلة التطوير.
مع استمرار الشركات من جميع الأحجام في الاستفادة من واجهات برمجة التطبيقات ، وصلت مساحة الأمن السيبراني إلى مفترق طرق حرج. يحتاج أمان واجهة برمجة التطبيقات إلى مراعاة انعدام الثقة ، ويجب إعادة النظر في ممارسات عدم الثقة مع وضع واجهات برمجة التطبيقات في الاعتبار. لكن كيف يبدو ذلك في الممارسة؟
حدث
قمة الأمن الذكي عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
تهديد واجهات برمجة التطبيقات
أصبحت واجهات برمجة التطبيقات ، أو واجهات برمجة التطبيقات ، اللبنات الأساسية للتطبيقات الحديثة. إنها تؤدي الدور الحاسم المتمثل في ربط النقاط بين البيانات والخدمات ، وتمكين العمليات التجارية الهامة وتعزيز قدرات المنتج. ليس من المستغرب ، وفقًا لدراسة حديثة ، أن 26٪ من الشركات تستخدم على الأقل ضعف عدد واجهات برمجة التطبيقات كما فعلت قبل عام.
>> لا تفوّت إصدارنا الخاص: أجندة CIO: خارطة طريق 2023 لقادة تكنولوجيا المعلومات. <<
ومع ذلك ، فإن جميع وظائف الاتصال ومشاركة البيانات التي تجعل واجهات برمجة التطبيقات مثل الأصول الهامة هي أيضًا ما يجعلها أهدافًا رئيسية للمهاجمين. منذ أن أصبحت واجهات برمجة التطبيقات شائعة جدًا ، فقد أصبحت وسيلة هجومية متزايدة الأهمية لمجرمي الإنترنت. في الواقع ، نما متوسط عدد هجمات API بنسبة 681٪ في العام الماضي.
بمجرد اختراق واجهة برمجة التطبيقات ، يمكن للمهاجمين فعل أي شيء – من التأثير على تجربة المستخدم إلى سرقة البيانات الحساسة والاحتفاظ بها فدية.
التطبيقات التي تعتمد على واجهة برمجة التطبيقات (API): الحاجة إلى انعدام الثقة
كنموذج للأمان ، تدعم الثقة الصفرية فكرة القضاء على الثقة من نظام لتأمينه. يعني هذا المبدأ أنه بغض النظر عن الشخص الذي يقوم بتسجيل الدخول إلى النظام – أو مكان وجهاز تسجيل الدخول منه – لا يمكن الوثوق بأي مستخدم حتى يتم مصادقة هويته بشكل صحيح. بالإضافة إلى ذلك ، يجب أن يكون هناك أيضًا رؤية قوية لجميع أنشطة الوصول التي تحدث عبر البيانات والأصول والتطبيقات والخدمات الهامة.
الشيء ، عندما يتعلق الأمر بالتطبيقات التي تعتمد على واجهة برمجة التطبيقات ، يمكن أن يكون هناك مئات أو آلاف الخدمات المصغرة. هذا الواقع يجعل من الصعب بشكل خاص على فرق الأمن الحصول على رؤية حول كيفية الوصول إلى كل خدمة صغيرة ومن قبل من. ونظرًا لأن العديد من استراتيجيات أمان واجهة برمجة التطبيقات تتخذ نهجًا شاملاً لتأمين كل هذه العناصر ، دون احتساب الفروق الدقيقة بين كل واجهة برمجة تطبيقات ، فقد يكون هناك الكثير من الثغرات الأمنية غير المرئية جاهزة للانتقاء.
التحول الذي يأتي مع نهج عدم الثقة هو ذو شقين: تتم إدارة أمان واجهة برمجة التطبيقات بطريقة مجزأة أكثر بكثير ، وواجهات برمجة التطبيقات مجهزة بوصول أقل امتيازًا. بهذه الطريقة ، يمكن للمؤسسات تقليل عدد واجهات برمجة التطبيقات المارقة والمفقودة التي تمثل تحديًا شائعًا اليوم.
حيث تلتقي API بنموذج الثقة الصفري
في حين أن الاستفادة من نموذج عدم الثقة في واجهات برمجة التطبيقات قد يتطلب بعض التفكير الإبداعي والجهود المسبقة لتحقيق الصواب ، إلا أن هناك عدة طرق للجمع بين هذين العنصرين معًا. ضع في اعتبارك هذه المجالات الثلاثة ، على سبيل المثال.
المستخدمون
عندما يتعلق الأمر بواجهات برمجة التطبيقات (API) ، يجب المصادقة على المستخدمين وترخيصهم. يجب التحقق من هويتهم ، ويجب أن يحصلوا على إذن (بناءً على دورهم أو مستوى الوصول) للوصول إلى واجهة برمجة التطبيقات هذه. يجب اعتبار كل مستخدم على حدة تهديدًا محتملاً.
ومع ذلك ، تحدث العديد من هجمات API عبر مستخدم مصدق عليه ، حيث يستخدم المهاجمون الهندسة الاجتماعية للوصول إلى الحسابات الفردية. على هذا النحو ، يجب أن تكون آليات المصادقة معقدة ومستمرة – ومقترنة بأنظمة مراقبة قوية – لإيقاف الحسابات المخترقة في مساراتها.
عندما يتعلق الأمر بالترخيص ، من المهم أن تتذكر أنه لا ينبغي أن يكون لدى الجميع حق الوصول إلى جميع واجهات برمجة التطبيقات. يجب على المؤسسات التفكير في استخدام إطار عمل للتحكم في الوصول للحصول على مزيد من التحكم الدقيق في من يمكنه الوصول إلى واجهة برمجة تطبيقات معينة.
بيانات
في الشركات التي تدعم التكنولوجيا اليوم ، يمكن الوصول إلى معظم البيانات المتاحة داخل المؤسسة عبر واجهات برمجة التطبيقات – ولكن لا توجد دائمًا رؤية واضحة لواجهات برمجة التطبيقات التي يمكنها الوصول ومستوى الوصول الذي يتمتع به المستخدمون من خلال كل واجهة برمجة تطبيقات. بالإضافة إلى ذلك ، من الشائع حاليًا إرسال بيانات أكثر مما هو مطلوب بالفعل وإعادة كتابة البيانات كائنًا في وقت واحد ، بدلاً من إعادة كتابة البيانات بشكل انتقائي. على هذا النحو ، باتباع تقليد عدم الثقة لأقل امتياز الوصول ، يجب أن تكون هناك معلمات واضحة حول البيانات التي تتم مشاركتها من خلال كل واجهة برمجة تطبيقات. بالإضافة إلى ذلك ، تحتاج فرق الأمان إلى سياسات وتدابير مطبقة لحماية البيانات الحساسة سواء أثناء السكون أو أثناء الحركة ، ولمراقبة المكان الذي يتم إرسالها إليه.
يراقب
يعد الحصول على رؤية واضحة لجميع أنشطة الوصول مكونًا حيويًا في إطار عمل صفر Ttust – وهو مهم بشكل خاص مع واجهات برمجة التطبيقات. تطور المهاجمون لاستخدام هجمات منطق الأعمال التي تستغل الوظائف المشروعة لارتكاب أنشطة شائنة. هذا يعني أن فرق الأمن بحاجة إلى أن تكون مجهزة بأنظمة مراقبة آلية تم إعدادها لتحديد التحولات الدقيقة في سلوك المستخدم.
ضمن واجهة برمجة تطبيقات معينة ، سيتطلب ذلك أيضًا جمع بيانات القياس عن بُعد أو البيانات الوصفية التي توفر رؤية واضحة في كل مكان لواجهة برمجة التطبيقات ، وكيف تتصرف وكيف يبدو منطق عملها. مع تعيين خط الأساس ، يكون من السهل تحديد أي تحولات في المشهد قد تشير إلى هجوم.
أصبحت واجهات برمجة التطبيقات (API) بسرعة أكبر متجه للهجوم في الشركات – ولا يزال هناك الكثير مما يجب القيام به لضمان أن استراتيجيات أمان واجهة برمجة التطبيقات تغطي جميع القواعد. من خلال جعل الثقة الصفرية أكثر دقة ، وتطبيقها عبر كل عنصر في النظام البيئي لواجهة برمجة التطبيقات ، تتمتع الشركات بفرصة أفضل لتجنب الهجوم وإبقاء علاماتها التجارية خارج دورة أخبار الأمن السيبراني.
علي كاميرون هو مسوق محتوى متخصص في الأمن السيبراني و B2B SaaS.
صانعي القرار
مرحبًا بك في مجتمع VentureBeat!
DataDecisionMakers هو المكان الذي يمكن للخبراء ، بما في ذلك الأشخاص الفنيون الذين يقومون بعمل البيانات ، مشاركة الأفكار والابتكارات المتعلقة بالبيانات.
إذا كنت تريد أن تقرأ عن الأفكار المتطورة والمعلومات المحدثة ، وأفضل الممارسات ، ومستقبل البيانات وتكنولوجيا البيانات ، انضم إلينا في DataDecisionMakers.
يمكنك حتى التفكير في المساهمة بمقال خاص بك!
قراءة المزيد من DataDecisionMakers
اكتشاف المزيد من موقع شبرون
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.