API-ji (eng. application programming interfaces) pokreću naša digitalna iskustva. API-ji stoje “iza” mnoštva naših svakodnevnih aktivnosti – od provjere vremenske prognoze, preko dogovora vožnje putem neke od aplikacija za mobilnost do streamanja TV serija i filmova. Istovremeno, gotovo svaka moderna organizacija temelji svoje digitalno poslovanje na API-jima.
API-first razvojna praksa revolucionarizirala je svijet na bolje. Ipak, postoji problem – svaka promjena na razini aplikacije i arhitekture dovodi i do promjena kod površine napada. Tradicionalna rješenja poput WAF-a i zaštite od DDoS napada i botova i dalje su važna, ali ona ne uspijevaju u potpunosti zaštititi API-je. Takva su rješenja dizajnirana za detekciju i zaštitu od poznatih napada i ne mogu predvidjeti buduće prijetnje do kojih dolazi zbog rapidnog usvajanja API-ja.
Prema istraživanju F5 Networks, više od 90% cyber napada cilja API krajnje točke. Napadači nastoje iskoristiti novije i manje poznate ranjivosti, koje su često rezultat slabo nadziranih API-ja od strane sigurnosnih timova.
Površina napada i tipovi napada neprestano se mijenjaju. Organizacije se moraju prilagoditi. U posljednje vrijeme, fokus industrije usmjeren je na generativni AI. Taj trend dovodi do dodatnog rasta broja aplikacija i API-ja koji podržavaju umjetnu inteligenciju i modele strojnog učenja. Kompleksnost se povećava. Da bi se zaštitile, moderne organizacije trebaju dinamičnu obrambenu strategiju. Takva strategija treba biti usmjerena na detekciju i ublažavanje rizika prije nego što se oni pretvore u vrlo skupe i, što je gore, često sprječive napade.
Zaštita kritičnih API-ja postaje jedan od glavnih izazova za organizacije. Pritom sigurnosti timovi i programeri unutar organizacija često niti ne znaju koliko API-ja njihove tvrtke koriste, gdje se nalaze i koji su rizici s njima povezani. Važno je znati da se ne može zaštititi ono što se ne može vidjeti i da je nemoguće upravljati rizikom povezanim s površinom napada koja se ne razumije.
API-ji postaju glavni vektor napada na organizacije
Velik broj organizacija ne zna što se događa s njihovim API-jima. Zbog toga su takozvane ”blind spots” na razini API-ja postale ogroman problem. Gartner još od 2019. predviđa da će API-ji postati glavni vektor napada na organizacije.
Ta su predviđanja potaknula ubrzani razvoj sigurnosnih rješenja usmjerenih na određeni aspekt API-ja. Iako su korisna, takva rješenja donose ograničene mogućnosti – primjerice, detekcija API-ja koji se koriste ili alati za skeniranje i testiranje koji pomažu u pronalaženju ranjivosti. Međutim, API-ji se ne mogu učinkovito zaštititi i nadzirati uz skup rješenja koje je potrebno međusobno integrirati. F5 Networks je rješenje ponudio u obliku Distributed Cloud Services.
Moderne AI-powered aplikacije oslanjanju se na distribuirane izvore podataka, modele i usluge, i to na on-premises, cloud i edge razini. Njihova povezanost ovisi o sve većem broju API-ja. Kako bi olakšao upravljanje, F5 Networks je u svoju Distributed Cloud Services platformu uključio napredno API code testing i analizu telemetrije. Na taj je način stvoreno najopsežnije AI-ready rješenje za zaštitu API-ja. F5 Networks je nedavno akvizirao tvrtku Wib, temeljem čega je omogućeno dodavanje funkcionalnosti koje omogućuju vidljivost u razvojnim procesima aplikacija te detekciju ranjivosti, odnosno identificiranje rizika i implementaciju politika prije nego što API-ju krenu u proizvodnju.
F5 Distributed Cloud platforma je dizajnirana s ciljem zadovoljavanja svih potreba koje donosi budućnost enterprise computinga, što uključuje multi-cloud, API-first i AI-powered tehnologiju.
Najopsežnije sigurnosno rješenje za zaštitu API-ja u industriji
Uz kombinaciju Wib platforme i F5 Distributed Cloud API Security, stvoreno je najopsežnije sigurnosno rješenje u industriji. F5 Networks je proširio trenutne mogućnosti zaštite i detekcije API-ja s:
- Analizom koda API-ja za otkrivanje krajnjih točaka API-ja i procjenu njihovih rizika prije nego što krenu u ”proizvodnju”
- Testiranjem API-ja za ispitivanje ranjivosti
- Analizom usklađenosti API-ja kako bi se osigurala usklađenost s regulatornim zahtjevima korisnika
- Procjena površine prijetnji API-ja
- API security fusion engine s ciljem stvaranja integriranog rješenja koje provjerava svaku prijetnju, ranjivost ili izvor u svim izvorima informacija