قبل از ایجاد یک استراتژی امنیتی API چه باید بکنید؟
1397/11/17 17:01 , سامان یزدان‌نیک

قبل از ایجاد یک استراتژی امنیتی API چه باید بکنید؟

 

نکات DOWN EWEEK : شرکت ها ابتدا باید ماهیت زیرساخت های API خود را درک کنند. اکثر آنها حتی نمی دانند که  باید از کدام API شروع کنند.

حوادث اخیر در   شرکت Salesforce ،   فیس بوک ،   گوگل + بدون اشاره به   نقص Equifax   و   رسوایی کمبریج آنالیتیکا   که فیس بوک را نیز به این مشکل دچار کرد به طور مستقیم انگشت اتهام را به سمت واقعیتی نگران کننده به نام امنیت API نشانه می رود که نشان می دهد شرکت ها پس از انتخاب API دست انتخاب امنیت آن می زنند. چنین حوادثی به عنوان یک پیغام بزرگ برای شرکت های امنیتی که در بازار حضور دارند می بشد.

رابط کاربری یک نرم افزار (API) کدی است که اجازه می دهد دو برنامه باهم ارتباط برقرار نمایند به طور خلاصه پلی ست میان دو اپلیکیشن. API مشخص راه درست برای یک برنامه نویس برای نوشتن برنامه ای است که خدماتی را از سیستم عامل برای خدمت به کاربر درخواست می نماید.

شرکت ها ابتدا باید ماهیت زیرساخت های API خود را درک کنند. اکثر آنها حتی نمی دانند کدام API ها در وهله اول وجود دارد.

در این   eWEEK   با استفاده از تحقیقات جدید از   هویت پینگ   بر اساس یک نظرسنجی از 100 نفر از متخصصین امنیتی و فناوری اطلاعات، ما پنج مسئله امنیتی API را ارائه می دهیم که می توانید آن را بعنوان  یک استراتژی برای تبیین امنیت استفاده نمایید.

خواندن بیشتر

  • حوادث امنیتی سایبری سال 2018
  • انتظارات برای امنیت سایبری در سال 2019

Data Point 1: Sprawl API یک مسئله رو به رشد است.

بیست و پنج درصد از پاسخ دهندگان می گویند که شرکتشان دارای بیش از 1000 API است و 35 درصد آن بین 400 تا 1000 API است. این نشان می دهد که API ها با سرعت زیادی در حال گسترش هستند. الف   بررسی ژانویه 2018   دریافت که شرکت ها 363 API مختلف را به طور متوسط ​​مدیریت می کنند، با 39.2 درصد مدیریت بین 400 تا 1000 API و 7.2 درصد مدیریت بیش از 1000 API. تفاوت دارد تعیین میزان API های موجود در شرکت شما اولین قدم در شناسایی مسئولیت های امنیتی و استراتژی شما است.

Data Point No. 2: فقدان دید در API ها بسیار شایع است.

چهل و پنج درصد از پاسخ دهندگان نمی دانند که آیا شخص سومی به API آنها دسترسی دارد یا خیر. در واقع، 51 درصد حتی مطمئن نیستند که تیم امنیتی خود در مورد تمام API های موجود در سازمان اطلاعات کافی دارند. این نشان دهنده یکی از بزرگترین موانع امنیتی امروز در زمینه API است - افرادی که با امنیت API ها سروکار دارند، اگر ندادنند از چه محافظت می کنند چگونه می خواهند محافغظت کنند.

Data Point No. 3:: نقض API اغلب یک جعبه سیاه است.

سی درصد پاسخ دهندگان نمی دانند که آیا سازمان آنها نقض، نشت یا سایر حوادث امنیتی مرتبط با API را تجربه کرده است یا نه . بد نیست بدانید  که امنیت API غالبا نادیده گرفته می شود که در این مورد بسیار کم صحبت شده است. برای تبیین یه استرراتژی امنیت تیم امنیت باید اولویت خود را شناسایی و خنثی کردن این تهدیدات قرار دهد

Data Point No. 4: دولتهای می تواند از API ها بعنوان سلاح بر علیه شرکت ها استفاده کنند.

هفتاد و پنج درصد از پاسخ دهندگان معتقدند که در سال آینده دولتها  API ها را هدف قرار می دهند یا استفاده می کنند. همانطور که اقتصاد API به هر گوشه ای از کسب و کار و جامعه مدرن گسترش می یابد، ورود بازیگران دولتی پیچیده اجتناب ناپذیر است. حالا سوال مهم از تیم های امنیتی این است که آیا آنها آماده هستند یا نه.

Data Point No. 5: خدمات مالی و دولت ها معتقدند که در معرض خطر بیشتری قرار دارند

چهل درصد از پاسخ دهندگان معتقدند شرکت های خدمات مالی در سال آتی پرطرفدارترین هدف برای حملات API خواهند بود. دولت ها نیز در مرحله دوم با 20 درصد از رای قرار دارند که آنها را به دومین هدف پرطرفدار تبیل می نمایید. پیش بینی می کنیم تا سال 2019، حملات پیچیده تر به API ها، به ویژه در صنایعی که داده ها بین برنامه ها و سرویس ها در حال انتقال هستند صورت می گیرد.

 

از آخرین دوره های آموزشی و تخفیف ها مطلع شوید

با تکمیل فرم زیر ، از اخبار و اطلاعات به روز برنامه نویسی و تکنولوژی عقب نمانید

آخرین مطالب

آموزش جامع SQL Server (جلسه ۱۲)
آموزش جامع SQL Server (جلسه ۱۲)

دستور UPDATE در SQL Server برای تغییر داده‌های موجود در یک جدول، از دستور UPDATE به شکل زیر استفاده ...

آموزش جامع SQL Server (جلسه ۱۵)
آموزش جامع SQL Server (جلسه ۱۵)

دستور DROP TABLE در SQL Server گاهی، لازم است یک جدول که دیگر استفاده‌ای ندارد را حذف کنید. برای ...

آموزش جامع SQL Server (جلسه ۳۵: Window Functionها – بخش ۲)
آموزش جامع SQL Server (جلسه ۳۵: Window Functionها – بخش ۲)

بخش اول از آخرین مبحث دوره جامع آموزش SQL Server در جلسه قبلی بررسی شد. این مبحث که ...

آخرین دیدگاه ها

دیدگاه خود را درباره این پست بنویسید

فرم ارسال نظرات