Валарм опубликовал отчет API ThreatStats за третий квартал 2023 года, который проливает свет на растущие угрозы, нацеленные на API, и выявляет уязвимости, которые затронули таких отраслевых гигантов, как Netflix, VMware и SAP.
В обновленном сборнике «10 крупнейших угроз безопасности API», представленном в отчете, указано 239 уязвимостей, обнаруженных в течение квартала, при этом лидируют инъекции.
Инъекции включают в себя вставку вредоносных данных или кода в API, что приводит к несанкционированному доступу и утечке данных. Примечательно, что широко распространены атаки на основе SQL и XML, что подчеркивает важность надежных мер безопасности для предотвращения таких нарушений.
33 процента уязвимостей (79 из 239) были связаны с аутентификацией, авторизацией и контролем доступа (AAA). Хорошо зарекомендовавшие себя средства защиты, такие как OAuth, единый вход (SSO) и JSON Web Token (JWT), были скомпрометированы в таких известных организациях, как Sentry и WordPress.
Sentry, в свою очередь, столкнулся с неправильной проверкой учетных данных, что потенциально подвергало проекты разработчиков несанкционированному доступу. WordPress пострадал от нарушения аутентификации плагина, в результате чего данные миллионов пользователей стали уязвимы для кражи.
В отчете также отмечен тревожный рост утечек данных API, занимающий четвертое место в списке угроз безопасности. Сложные технологические стеки сделали эти утечки более распространенными, жертвами которых стали Netflix, VMware и SAP.
Иван Новиков, генеральный директор Валарм, призвал бизнес-лидеров и специалистов по кибербезопасности признать серьезность этих угроз:
«Независимо от того, вызван ли этот отчет злоумышленниками или внутренней невнимательностью, этот отчет является тревожным сигналом для бизнес-лидеров и специалистов по кибербезопасности, чтобы они включили защиту от угроз API и других утечек в свои программы безопасности продуктов.
Устоявшиеся структуры безопасности, такие как OWASP API Security Top-10, являются одним из способов начать работу, но имеют ограничения в решении современных сложных задач безопасности API.
Этот список угроз, основанный на данных в режиме реального времени, дополняет и расширяет структуру OWASP, выявляя неучтенные угрозы и уязвимости, улучшая общий уровень безопасности».
Отчет Валармса служит тревожным сигналом, призывающим компании усилить свои протоколы безопасности API для защиты конфиденциальных данных и поддержания доверия потребителей.
Полную копию отчета можно найти здесь (требуется регистрация)
(Фото FLY:D на Unsplash)
Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие приурочено к Неделе цифровой трансформации.
Узнайте о других предстоящих мероприятиях и вебинарах в области корпоративных технологий, проводимых TechForge, здесь.
Специальная подборка для Вас