הדור החדש של ההאקרים מכוון ל-API

הדור החדש של ההאקרים מכוון ל-API

‍

הרשאות לא נכונות, אימות משתמשים שגוי, חשיפת מיותרת של מידע, הגדרות אבטחה לא מתאימות – אלו רק חלק מבעיות אבטחה. עם התגברות האיומים על שירותי API, קמו חברות שמנסות להציע פתרונות שונים מעבר לפתרונות הקיימים כיום, ולתת מענה מקיף לארגונים. חברת Salt Security נחשבת לחלוצה בתחום, עם פטנט רשום להגנה על API. ישבנו לשיחה עם גלעד ברזילי, סמנכ"ל פיתוח עסקי בחברה כדי להבין טוב יותר את האיומים על API כיום.

‍

מה האיומים שאתם נתקלים בהם בעיקר סביב API בארגונים?

"אנחנו מפרסמים דוח רבעוני שסוקר את מצב התחום ואנחנו רואים בעיות אבטחה כמו: חולשות, בעיות אימות, דליפה של מידע פרטי, מתקפת מניעת שירות, הונאות, גניבת נתונים ועוד. כל הבעיות הללו דורשות פתרון מקיף שיודע לעקוב אחר כל ה-API ולהבין את ההתנהגות הנורמלית לעומת האנומליות שהוא מזהה. הפתרון שלנו יודע לבצע בדיוק את זה".

‍

איזה נתונים עולים מהדוח האחרון?

"הנתון המשמעותי ביותר הוא עלייה של 117 אחוזים במספר ההתקפות על API בקרב המשיבים שמבוסס גם על לקוחות שלנו וגם על מדגם של 350 חברות בתחומים שונים. למעלה מ-20 אחוזים מהחברות דיווחו על פריצה ל-API, כאשר 2.1 אחוזים מכלל התעבורה ל-API היא תעבורה זדונית. העלייה המשמעותי הזאת במתקפות גורמת לעיכובים בתהליכי הפיתוח. למעלה ממחצית מהמשיבים אמרו שהם נאצלו לדחות אפליקציות חדשות בגלל שיקולי אבטחה של API שקשורים לאפליקציה. גם התכיפות של עדכונים ל-API עולה וכיום 42 אחוזים מעדכנים את ה-API שלהם ברמה שבועית, כאשר 11 אחוזים מעדכנים אותם ברמה יומית. בתכיפות כזאת עולה השכיחות לבעיות אבטחה ולפרצות שלא שמים לב אליהן בזמן הפיתוח".

‍

אתם לא מתמקדים רק בהגנה בזמן אמת, אלא נמצאים גם בשלבים אחרים של מעגל הפיתוח?

"כחלק מכל המגמה של תהליכי אבטחת המידע עוד בשלב הפיתוח, הפתרון שלנו יודע להתריע על בעיות אבטחה אפשרויות כבר בשלבי הפיתוח הראשוניים. לאחר מכן, בשלב הבדיקות, אנחנו יודעים גם לדמות מתקפות שונות על בסיס מידע בזמן אמת שאנחנו אוספים מכל הלקוחות שלנו בעולם. ולבסוף אנחנו יודעים לזהות גם דליפת מידע רגיש או איסוף מידע על דליפה במידה והתרחשה כדי לעמוד בדרישות רגולטוריות של דיווח. יש עלייה ברמת הרגולציה שנדרשת לגבי דיווח על פריצות ודליפות מידע, וחברות יכולות להינזק משמעותית מעבר לפריצה עצמה רק בגלל אי-עמידה בדרישות הדיווח".

‍

מה אחת הסכנות שאתם רואים שהרבה חברות לא מודעות אליה?

"אחד הדברים שמפתיעים לקוחות שמשתמשים בשירות שלנו הוא מספר ה-Zombie API שהן מגלות. אנחנו מבצעים סריקה אוטומטית של כל ה-API בארגון ומגלים API שנשכחו עם הזמן. או בגלל שעברו לגרסה חדשה ולא כיבו את השירות הקודם, או בגלל שה-API עבר למיקום אחר מבחינת תשתית וה-API הישן עדיין נשאר. בחלק מהמקרים היו API ישנים שנשארו בגלל לקוחות שביקשו להמשיך להשתמש בהם מבלי להוסיף פונקציונלית. כל הנקודות הללו בסופו של דבר הן עוד נקודות חולשה שהאקרים יכולים לנצל. המערכת שלנו יודעת לסרוק את כל הנקודות הללו ולהתריע במידה והן לא עומדות במדיניות האבטחה הארגונית או כלל לא נמצאות בשימוש".

‍

תשתתפו השנה בכנס re:Invent ?

"בהחלט נשתתף בכנס re:Invent, כנס הלקוחות השנתי של AWS שייערך בלאס ווגאס בסוף החודש, ובו אנחנו מתכננים לפגוש לקוחות, שותפים ומנהלי אבטחת מידע מחברות בתחומים שונים". 

‍