Google: با Cloud Comes APIها و سردردهای امنیتی | دانش مرکز داده

رابط‌های برنامه‌نویسی برنامه‌های کاربردی وب (API) چسبی هستند که برنامه‌ها و زیرساخت‌های ابری را در کنار هم نگه می‌دارند، اما این نقاط پایانی به طور فزاینده‌ای مورد حمله قرار می‌گیرند، به طوری که نیمی از شرکت‌ها یک حادثه امنیتی مرتبط با API را در 12 ماه گذشته تصدیق کرده‌اند.

بر اساس نظرسنجی انجام شده توسط Google Cloud، مشکل‌سازترین مشکلات امنیتی که بر استفاده شرکت‌ها از APIها تأثیر می‌گذارد، پیکربندی‌های نادرست امنیتی، APIها و مؤلفه‌های قدیمی، و ربات‌های هرزنامه یا سوءاستفاده هستند – به طوری که 40 درصد از شرکت‌ها به دلیل پیکربندی نادرست با یک حادثه مواجه می‌شوند و سومین مقابله با آن مواجه می‌شوند. با دو موضوع اخیر

دو سوم از شرکت‌ها (67%) در مرحله آزمایش مشکلات و آسیب‌پذیری‌های امنیتی مرتبط با API را پیدا کردند، اما بیشتر شرکت‌ها – بیش از 60٪ – مشکلاتی را در طول فرآیند توسعه نرم‌افزار، در حین استقرار برنامه‌ها و با استفاده از نظارت بلادرنگ کشف کردند. طبق نظرسنجی بیش از 500 رهبر فناوری.

Vikas Anand، رئیس محصول برای پلتفرم‌های کاربردی تجاری در Google Cloud، می‌گوید علیرغم این مشکلات، بیش از سه چهارم (77٪) مطمئن هستند که مشکلات را حل خواهند کرد و می‌گویند که ابزارها و راه‌حل‌های API مورد نیاز را دارند.

آناند می‌گوید: «در ابزار موجود، تصوری از اطمینان وجود دارد که با شواهد مطابقت ندارد. چشم انداز امنیت تغییر کرده است – با رشد چشمگیر حجم API، API ها میدان نبرد جدیدی برای امنیت برنامه ها هستند.

علاقه به Web API ها زمانی رخ می دهد که شرکت ها در دو سال گذشته به دنبال اختلالات تجاری ناشی از همه گیری ویروس کرونا، تحولات دیجیتالی خود را تسریع کرده اند. تقریباً همه (93٪) شرکت‌هایی که توسط گوگل مورد بررسی قرار گرفتند در مطالعه دوم روی 770 رهبر فناوری، فعالیت‌های خود را مبتنی بر “عمدتاً ابری” توصیف کردند که در مقایسه با 83٪ دو سال پیش افزایش داشت.

در مقابل، تصمیم گیرندگان تجاری که عملیات خود را به عنوان “عمدتا در محل” توصیف می کنند، از 16٪ در همان دوره زمانی به نصف به 7 درصد کاهش یافته است.

طبق یک تخمین، حوادث امنیتی مرتبط با API از سال 2020 باعث ضرر 12 تا 23 میلیارد دلاری شده است. و سطح حمله در حال بزرگتر شدن است: یک شرکت بزرگ متوسط ​​سه برابر تعداد API – 15600 – نسبت به سال گذشته دارد.

API ها: کلید تبدیل ابر

گوگل دریافت که در حالی که 46% از سازمان‌های مورد بررسی استفاده از APIها را فقط در داخل سازمان خود اختصاص داده‌اند، بیش از نیمی (54%) به شرکا، مشتریان و سایر توسعه‌دهندگان خارجی اجازه می‌دهند از APIها به عنوان راهی برای تحریک توسعه شخص ثالث استفاده کنند.

Google Cloud در گزارش خود اعلام کرد: «APIها برای نوسازی برنامه‌ها و تحول دیجیتال بسیار مهم هستند، زیرا همراه با میکروسرویس‌ها، ارائه سریع تجربیات جدید به مشتریان را امکان‌پذیر می‌کنند و در عین حال هزینه‌های توسعه و نگهداری را کاهش می‌دهند». “گزارش The Digital Crunch Time: 2022 State of APIs and Applications».

بر اساس گزارش دوم Google Cloud، “API”، از آنجایی که API ها برای تحول دیجیتال آنها حیاتی هستند، شرکت ها عاقلانه سرمایه گذاری های امنیتی API را با هدف بهبود توانایی خود در شناسایی فعالانه تهدیدات امنیتی، و 57٪ با استفاده از اتوماسیون امنیتی و هماهنگ سازی بیشتر اولویت بندی کرده اند. امنیت: آخرین اطلاعات بینش و روندهای کلیدی.”

حدود نیمی از شرکت‌ها همچنین قصد دارند نظارت بی‌درنگ سرورهای API و استفاده از هوش مصنوعی و سیستم‌های یادگیری ماشین (AI/ML) را برای کشف بهتر نقص‌ها و شناسایی حملات گسترش دهند.

آناند می‌گوید: «همانطور که سازمان‌ها از حالت ارتجاعی به سمت مقابله فعالانه با این تهدیدات حرکت می‌کنند، شاهد استفاده گسترده‌تر از مدل‌های AI/ML در ابزار امنیتی خواهیم بود. “قوانین مبتنی بر ML تکامل طبیعی این هستند – نه فقط خودکار کردن، بلکه یادگیری مداوم از آن تجربیات.”

API Maturity موفقیت ابر را به ارمغان می آورد

جای تعجب نیست که شرکت‌هایی که تجربه بیشتری با API داشته‌اند، با انتقال خود به عملیات‌های بومی‌تر ابری، موفقیت بیشتری پیدا کرده‌اند.

حدود یک سوم از شرکت‌ها (34%) خود را به‌عنوان رویکردی بالغ نسبت به APIها طبقه‌بندی کردند که یک استراتژی اول API را در سراسر سازمان‌ها پیش می‌برند و از یک پلت فرم مدیریت API استفاده می‌کنند. این شرکت‌ها همچنین در مقایسه با سازمان‌هایی با بلوغ API پایین‌تر، موفقیت بیشتری در افزایش کارایی، همکاری بهتر و چابکی بهتر داشتند.

Google Cloud سازمان‌های با بلوغ پایین را به‌عنوان سازمان‌هایی تعریف می‌کند که دارای API‌های محو شده، بدون مدیریت متمرکز APIها و شاید یک دروازه API برای امنیت هستند.

به گفته فروشنده، «مطالعه ما نشان می‌دهد که سازمان‌های API بالغ در تلاش‌های تحول دیجیتال خود در مقایسه با سازمان‌های API با بلوغ پایین، به‌طور قابل‌توجهی جلوتر هستند». رهبران فناوری از قبل ارزشی را که API ها به ارمغان می آورند درک کرده اند.

طبق گزارش گوگل، برای شرکت‌هایی که به زیرساخت برنامه مبتنی بر API می‌روند، امنیت API مهم‌ترین مؤلفه برنامه API در نظر گرفته می‌شود و 66 درصد از شرکت‌ها آن را مهم می‌دانند. دیگر نگرانی های اصلی شامل تجزیه و تحلیل عملکرد API و حاکمیت API بود.

آناند می‌گوید: «امنیت API در نهایت باید بخشی از استراتژی امنیتی کلی باشد. “ادغام یکپارچه بین همه محصولات امنیتی، افزایش ارزش کلی امنیت از مجموعه شما را آسان تر می کند.”

داستان کامل را در سایت خواهر ما Dark Reading بخوانید.