Аналитики Salt Security предупреждают о резком росте атак на API за прошедший год. При этом подчеркивается, что большинство компаний по-прежнему не используют адекватные методы защиты от этой проблемы. Из-за разных проблем с безопасностью API более 62% респондентов, участвовавших в опросе Salt Security, вообще отложили развертывание приложений.
Компания пишет, что в целом трафик API-атак вырос на рекордные 681% в 2021 году, тогда как общий трафик API увеличился на 321%. Эта статистика подчеркивает, что атаки растут непропорционально с внедрением API-решений в отраслях.
В настоящее время API-атаки применяются злоумышленниками в самых разных сценариях, в том числе для утечек данных, DDoS-атак, SQL-инъекций, атак типа man-in-the-middle, распространения вредоносного ПО и так далее.
По мнению исследователей Salt Security, основная проблема сейчас заключается в том, что компании чрезмерно полагаются на pre-production безопасность API и сосредотачиваются на выявлении проблем лишь на этапе разработки. На самом же деле большинство API-атак эксплуатируют логические баги, которые становятся очевидными лишь после перехода приложений в runtime-фазу. Увы, только четверть компаний по-прежнему привлекает ИБ-специалистов на этом этапе.
К примеру, эксперты говорят, что развертывания API-шлюзов или WAF недостаточно для обнаружения и остановки атак с внедрением XSS, SQL и JSON, поскольку они выполняются лишь после того, как злоумышленники завершили разведку и выявили пригодные для эксплуатации бреши в безопасности.
Кроме того, выяснилось, что у 34% компаний вообще отсутствует какая-либо стратегия безопасности API, так как они всецело полагаются исключительно на поставщиков API-решений.
Также в отчете отмечается, что со временем большинству организаций требуются обновления API и определенное расширение функциональности, а это лишь усложняет управление проектом. Из-за этого 83% респондентов вообще не уверены, что их данные и документация отражают все существующие функции API. Еще 43% сообщают об устаревших функциях API, которые более не применяются в их приложениях, однако по-прежнему доступны злоумышленникам для возможных злоупотреблений.