Компания Imperva опубликовала отчет " Количественная оценка стоимости отсутствия безопасности API ", в котором проанализировано почти 117 000 инцидентов безопасности. Установлено, что отсутствие безопасности API обходится организациям в $41-75 млрд. ежегодно.
Крупные организации имеют более высокий риск взлома, связанного с API, причем у предприятий с доходом более $100 млрд вероятность нарушения безопасности API в три-четыре раза выше, чем у малых и средних компаний.
Прежде всего, в отчете подчеркивается, что отсутствие приоритетности API является дорогостоящей ошибкой, особенно когда так много небезопасных API подключены непосредственно к внутренним базам данных, где конфиденциальные данные уязвимы для доступа и утечки.
Почему предприятия так ошибаются в обеспечении безопасности API?
В организациях постоянно возникают проблемы с обеспечением безопасности API: за последние 12 месяцев 95% организаций пострадали от инцидентов, связанных с безопасностью API, а 34% признались, что у них отсутствует какая-либо стратегия безопасности API, несмотря на то что API используются в производстве.
"Многие организации не в состоянии защитить свои API, потому что это требует равного участия команд безопасности и разработки", - говорит Лебин Ченг, вице-президент по безопасности API в Imperva. Исторически сложилось так, что эти группы враждуют между собой - безопасность является партией "нет", а devops безответственны и двигаются слишком быстро".
"Чтобы решить эти проблемы, руководители служб безопасности должны дать разработчикам приложений возможность создавать безопасный код, используя легковесные и эффективно работающие технологии", - добавил Ченг.
По мнению Ченга, любые решения, которые внедряют команды безопасности, должны включать в себя обнаружение API и классификацию данных. Таким образом, аналитики могут обнаружить схему API, одновременно определяя и классифицируя данные, которые проходят через него, и используя тестирование для обнаружения любых потенциальных уязвимостей.
Гравитация научных фактов сильнее, чем вы думаете