API-ji (ang. application programming interfaces) poganjajo naše digitalne izkušnje. API-ji stojijo “za” mnogimi našimi vsakodnevnimi aktivnostmi – od preverjanja vremenske napovedi, do organiziranja vožnje preko ene od mobilnih aplikacij do streamanja TV serij in filmov. Hkrati pa skoraj vsaka moderna organizacija temelji svoje digitalno poslovanje na API-jih.
Razvojna praksa API-first je spremenila svet na bolje. Vendar pa obstaja problem – vsaka sprememba na ravni aplikacije in arhitekture povzroči tudi spremembe na površini napada. Tradicionalne rešitve, kot sta WAF in zaščita pred DDoS napadi in boti, so še vedno pomembne, vendar API-jev ne zaščitijo v celoti. Takšne rešitve so zasnovane za odkrivanje in zaščito pred znanimi napadi in ne morejo predvideti prihodnjih groženj, do katerih prihaja zaradi hitrega sprejemanja API-jev.
Po raziskavi F5 Networks je več kot 90% kibernetskih napadov usmerjenih na API končne točke. Napadalci skušajo izkoristiti novejše in manj znane ranljivosti, ki so pogosto posledica slabo nadzorovanih API-jev s strani varnostnih ekip.
Površina napada in vrste napadov se nenehno spreminjajo. Organizacije se morajo prilagoditi. V zadnjem času se industrija osredotoča na generativno umetno inteligenco (AI). Ta trend vodi do dodatnega povečanja števila aplikacij in API-jev, ki podpirajo umetno inteligenco in modele strojnega učenja. Kompleksnost se povečuje. Da bi se moderne organizacije zaščitile potrebujejo dinamično obrambno strategijo. Takšna strategija bi morala biti osredotočena na odkrivanje in zmanjševanje tveganj, predno se ti spremenijo v zelo drage, in kar je še huje, vse pogostejše napade.
Zaščita kritičnih API-jev postaja eden glavnih izzivov za organizacije. Pri tem varnostne ekipe in razvijalci znotraj organizacij pogosto niti ne vedo, koliko API-jev uporablja njihove podjetje, kje se nahajajo in kakšna tveganja so povezana z njimi. Pomembno je vedeti, da ne morete zaščititi tistega, česar ne vidite, in da je nemogoče obvladovati tveganje, povezano s površino napada, ki je ne razumemo.
API-ji postajajo glavni vektor napadov na organizacije
Veliko število organizacij ne ve, kaj se dogaja z njihovimi API-ji. Zato so tako imenovani ” blind spots ” na ravni API-jev postali velik problem. Gartner je že leta 2019 napovedal, da bodo API-ji postali glavni vektor napadov na organizacije.
Te napovedi so spodbudile hiter razvoj varnostnih rešitev, osredotočenih na določen vidik API-jev. Čeprav so uporabne, takšne rešitve prinašajo omejene zmogljivosti – na primer, zaznavanje API-jev, ki se uporabljajo, ali orodja za skeniranje in testiranje, ki pomagajo pri odkrivanju ranljivosti. Vendar pa API-jev ni mogoče učinkovito zaščititi in nadzorovati z nizom rešitev, ki jih je treba med seboj integrirati. F5 Networks je ponudil rešitev v obliki Distributed Cloud Services.
Sodobne AI-powered aplikacije se zanašajo na distribuirane vire podatkov, modele in storitve, in to na on-premises, cloud in edge ravni. Njihova povezljivost je odvisna od vse večjega števila API-jev. Za lažje upravljanje, je F5 Networks v svojo Distributed Cloud Services platformo vključil napredno testiranje API kod in analizo telemetrije. Na ta način je bila ustvarjena najobsežnejša AI-ready rešitev za zaščito API-jev. F5 Networks je nedavno kupilo podjetje Wib, na podlagi katerega je bilo mogoče dodati funkcionalnost, ki omogoča vpogled v procese razvoja aplikacij in odkrivanje ranljivosti, torej prepoznavanje tveganj in implementacijo politik, preden gre API v produkcijo.
F5 Distributed Cloud platforma je zasnovana z namenom zadovoljevanja vseh potreb, ki jih prinaša prihodnost enterprise computinga, kar vključuje multi-cloud, API-first in AI-powered tehnologijo.
Najobsežnejša varnostna rešitev za zaščito API-jev v industriji
S kombinacijo Wib platforme in F5 Distributed Cloud API Security je bila ustvarjena najobsežnejša varnostna rešitev v industriji. F5 Networks je razširil trenutne možnosti zaščite in zaznavanja API-jev z:
- Analizo kode API-jev za odkrivanje končnih točk API-jev in oceno njihovih tveganj, preden gredo v “produkcijo”
- Testiranjem API-jev za iskanje ranljivosti
- Analizo skladnosti API-jev, da se zagotovi skladnost z regulativnimi zahtevami uporabnikov
- Ocenjevanjem površine groženj API-jev
- API security fusion engine s ciljem ustvarjanja integrirane rešitve, ki preverja vsako grožnjo, ranljivost ali vir v vseh virih informacij