الموت بألف تسرب بيانات: كيف تطغى واجهات برمجة التطبيقات على الأمان

أصبحت أسطح الهجوم اليوم أوسع من أي وقت مضى ، حيث تتسرب نقاط الضعف من التطبيقات وتسكن واجهات برمجة التطبيقات المرنة التي تحافظ على تحول عالم التكنولوجيا.

لسوء الحظ ، بينما يدرك معظمهم تهديدات تطبيقات الويب التقليدية ، تظل واجهات برمجة التطبيقات منطقة غامضة من الأمان. يتطلب مشهد التهديد الهائل اليوم وجود WAF سحابي كفء وحتى استثمارًا في WAAP.

ما هي API؟

واجهات برمجة التطبيقات هي الغراء الذي يحافظ على تجربة التصفح الحديثة معًا. تعمل واجهات برمجة التطبيقات على تبسيط استخدام البرامج وتطويرها من خلال السماح لتطبيقات الويب الفردية بتبادل البيانات. تتم معالجة تقديم طلب إلى خادم عبر تطبيق ما في الوقت الحاضر من خلال واجهة برمجة تطبيقات ذات صلة ، وذلك بفضل حقيقة أن واجهات برمجة التطبيقات التي تم تنفيذها بشكل صحيح آمنة للغاية.

بدلاً من تعرض الخادم مباشرةً لمعلوماتك ، يجب أن يشارك جهازك وواجهة برمجة التطبيقات ذات الصلة حزمًا صغيرة من البيانات ، مع توصيل ما هو ضروري فقط.

رشيقة وواجهة برمجة التطبيقات: مشكلة أمنية مزدوجة

Agile هي الكلمة الطنانة للأعمال التجارية في العام الماضي - فهي تصف شكلاً من أشكال الإنتاج يضخم فكرة ريادة الأعمال عن "الحد الأدنى من المنتج القابل للتطبيق". هدف Agile هو دفع الحد الأدنى من المنتج في كل مرحلة ؛ بدلاً من وصف المنتج بأنه "منتهي" ، فإنه يتم مجرد حلقة أخرى في جولة أخرى من إصلاح الأخطاء وإصلاحها والتحسينات.

على الرغم من أن هذا الترقيع الدائم يبدو رائعًا للأمان (دعم البرامج المستمر؟ لطيف!) فإن الواقع الاقتصادي لإنتاج البرامج يعني أن كمية واجهات برمجة التطبيقات تصبح غير عملية بسرعة.

نظرًا لأن فرق التطوير تتحرك بسرعة ، نادرًا ما يتم توثيق واجهات برمجة التطبيقات بشكل شامل. هذا يجعل من الصعب للغاية النظر في الآليات الداخلية للتطبيق وفهم واجهات برمجة التطبيقات التي تفعل ما تفعله. كما أنه يجعل الأمان أكثر صعوبة بشكل لا نهائي ، حيث لا تعرف فرق التطوير نفسها الحجم الحقيقي لمخزون واجهة برمجة التطبيقات الخاصة بهم. هذا يضع الأمن السيبراني كأولوية منخفضة ؛ دائمًا ما يكون رد الفعل وليس استباقيًا أبدًا.

واجهات برمجة التطبيقات التي تم التغاضي عنها

عندما يتم ذكر أمان التطبيق ، فإن أول ما يتبادر إلى الذهن هو الوزن الثقيل للأمان. هجمات مثل البرمجة النصية عبر المواقع ؛ حقن SQL وهجمات DDoS كلها معروفة بشكل لا يصدق. غالبًا ما يتم حماية التطبيقات نفسها جيدًا من خلال حلول التوصيل والتشغيل مثل جدران حماية تطبيقات الويب التي تقوم بدوريات حول المحيط.

لم يتم إيلاء سوى القليل من الاهتمام لواجهات برمجة التطبيقات ، مما أدى إلى الإضرار بالمنظمة الغافلة وعملائها. خذ على سبيل المثال ثغرة في واجهة برمجة التطبيقات ظهرت في نظام أوبر.

عندما ينضم سائق Uber إلى Uber عبر رابط إحالة ، يقوم بتشغيل التطبيق وإدخال رمز الإحالة. عند الضغط على زر الإدخال ، يتصل متصفح التطبيق بمضيف واجهة برمجة التطبيقات “bonjour.uber.com”. من هناك ، يتلقى bonjour.uber معلمة معرف المستخدم ويعيد تفاصيل حول برنامج التشغيل إلى تطبيق المستخدم ، ويكون جاهزًا للإدخال في شاشة الموافقة التالية.

ومع ذلك ، تم العثور على واجهة برمجة التطبيقات هذه مذنبة بارتكاب خرقين أمنيين كبيرين. الأول كان ترخيص مستوى الكائن المكسور (BOLA). لم تتحقق واجهة برمجة التطبيقات من تطابق معرف المستخدم مع معلمة المعرف الخاصة به ؛ لذلك كان من الممكن الوصول إلى بيانات المستخدمين الآخرين ببساطة عن طريق تغيير هوية المستخدم.

القضية الثانية كانت التعرض المفرط للبيانات. استجابة API - لإرجاع تفاصيل المستخدم - جمعت كل هذه المعلومات في دفعة واحدة ، تحتوي على كل تفاصيل المستخدم. وهذا يعني أن واجهة برمجة التطبيقات (API) قامت بإرجاع المعلومات التي لم يكن العميل بحاجة إليها بشكل صريح ، منتهكة بذلك إحدى الركائز الأساسية لأفضل ممارسات الأمن السيبراني.

ضع في اعتبارك الآن أن المؤسسة المتوسطة تعتمد على أكثر من 15500 واجهة برمجة تطبيقات ، ويبدأ حجم المخاطر في الظهور. لحسن الحظ ، تم توصيل Uber API قبل حدوث أي ضرر كبير ؛ الشركة التالية لم تكن محظوظة تمامًا.

مشكلة بيلوتون

يتمتع أكثر من 3 ملايين مشترك بالعلامة التجارية للياقة البدنية في المنزل من Peloton. تعد فصول اللياقة البدنية الحية نقطة بيع رئيسية ، على الرغم من أنك إذا لم تكن على استعداد لمشاركة بياناتك الطبية مع حاضرين آخرين في الفصل ، فمن الممكن تعيين حساب peloton الخاص بك على الخاص.

لسوء الحظ ، شهد عدد من ثغرات واجهة برمجة التطبيقات تعرض هذه البيانات للمستخدمين غير المصرح لهم. يمكن كشط معلومات الحاضرين في الفصل على نطاق واسع ، حيث فشلت نقطة نهاية واحدة لواجهة برمجة التطبيقات في التحقق من صحة المستخدم الطالب. سمح هذا للمهاجمين غير المصرح لهم بالحصول على اسم المستخدم والموقع ومعرف التمرين والجنس والعمر لمستخدمي Peloton.

كانت واجهات برمجة التطبيقات سببًا في تسريبات البيانات البارزة لسنوات. شهدت فضائح بيانات Facebook المستمرة طوال عامي 2018 و 2019 حدوث خرق تلو الآخر ، في المقام الأول من خلال واجهات برمجة تطبيقات مطور طرف ثالث. ومن الأمثلة على ذلك واجهة برمجة تطبيقات المجموعات ؛ يمكن للمطورين الذين يعملون على تطبيق إدارة الوسائط الاجتماعية B2B الوصول بحرية إلى الأسماء والمزيد من المعلومات الشخصية لأعضاء المجموعة. على الرغم من أن تطبيق إدارة الوسائط الاجتماعية هذا كان يهدف إلى مساعدة مسؤولي المجموعة في إدارة مجموعاتهم بشكل أكثر فعالية ، كان على Facebook إزالته وواجهة برمجة التطبيقات الخاصة به.

بلغت فضائح البيانات ذروتها في عام 2021 ، عندما تم تسريب أسمائهم وأرقام هواتفهم ومعرفات مستخدمي فيسبوك لقاعدة بيانات السوق السوداء لأكثر من 533 مليون مستخدم.

منع تسرب API

ينشر مشروع أمان تطبيق الويب المفتوح (OWASP) بانتظام أكثر نقاط الضعف في تطبيقات الويب خطورة وانتشارًا التي يجب مراقبتها. يعتبر التهديد الأمني ​​المتصاعد الذي تمثله واجهات برمجة التطبيقات شديدًا بما يكفي لضمان قائمة OWASP العشرة الأولى الخاصة به ، والتي يتصدرها باستمرار تفويض مستوى الكائن المكسور.

لحسن الحظ ، فإن حماية واجهات برمجة التطبيقات الخاصة بك - خارج نطاق المطالبة بدورة تطوير أبطأ - تتعقب عن كثب مع تأمين مؤسستك بشكل عام ككل. ستكون نقطة الاتصال الأولى لديك هي جدار حماية تطبيق ويب لائق (WAF). يراقب هذا الحل محيط تطبيقاتك ، ويمنع استغلال بوابات API بواسطة نقاط الضعف الرئيسية.

تأخذ تطبيقات الويب وحماية API (WAAP) الأمور خطوة إلى الأمام. إنه يقع تمامًا على الحد المواجه للجمهور للتطبيق ، ويحلل كل حركة المرور الواردة. من خلال مراقبة أنماط حركة المرور والطلبات المشروعة ، تعد WAAPs أدوات أمان متخصصة للغاية مصممة خصيصًا لحماية واجهات برمجة التطبيقات.

في حين أن WAAP هو نظام دفاعي على مستوى نقطة النهاية ، فإن حلول الحماية الذاتية لتطبيق وقت التشغيل (RASP) تلتف حول تطبيقات ويب معينة. يحتوي حل RASP - المتميز عن WAF - أيضًا على نظرة ثاقبة للأعمال والسلوكيات الداخلية لتطبيقه. بهذه الطريقة ، في حالة استخدام واجهة برمجة التطبيقات (API) كموطئ قدم في الهجوم ، والاستعلام عن مزيد من المعلومات أكثر مما ينبغي أن يكون ذلك عمليًا ، يمكن لـ RASP إيقاف الهجوم بشكل استباقي.

مع توفر عدد لا يحصى من خيارات حماية واجهة برمجة التطبيقات ، أصبح تأمين تطبيقاتك ومؤسستك أسهل من أي وقت مضى.