A rosszindulatú API-forgalom 681 százalékkal nőtt az elmúlt évben, szemben a teljes API-forgalom 321 százalékos növekedésével. A Salt Security API-biztonsági specialista új jelentése szerint a megkérdezett szervezetek 95 százaléka tapasztalt API-biztonsági incidenst az elmúlt 12 hónapban.
A támadások és incidensek drámai növekedése ellenére azonban ezek a szervezetek - amelyek mindegyike termelő API-kat üzemeltet - továbbra is felkészületlenek az API-támadásokra. A válaszadók 34 százalékának nincs semmiféle API-biztonsági stratégiája.
"Ahhoz, hogy napjainkban boldogulni tudjon, minden vállalatnak szoftvercégnek kell lennie, és az API-k az alkalmazásinnovációjuk középpontjában állnak. A digitális vállalkozások a modern gazdaság vezető szereplőivé, ugyanakkor a rosszindulatú szereplők elsődleges célpontjaivá váltak" - mondta Roey Eliyahu, a Salt Security társalapítója és vezérigazgatója.
A szakember hozzátette: "Azt látjuk, hogy az API-támadások évről évre jelentősen felgyorsulnak. Ami még aggasztóbb, hogy az API-használat és a támadások növekedési üteme továbbra is meghaladja a vállalatok felkészültségét és védekezését. A szervezeteknek időt és energiát kell fordítaniuk arra, hogy megértsék az API-támadási helyzetet és a legfontosabb eszközeik védelméhez szükséges kritikus képességeket."
Talán nem meglepő, hogy a felmérésben részt vevők 62 százaléka elismerte, hogy az API biztonsági aggályok miatt lassította egy új alkalmazás bevezetését. Az API-biztonság miatti legnagyobb aggodalmak közül a gyártás előtti biztonságba való elégtelen befektetés áll az első helyen az említések 22 százalékával, a válaszadók további 18 százaléka aggódik amiatt, hogy a program nem foglalkozik megfelelően a futásidő alatti vagy a gyártás biztonságával. A követelmények és a dokumentáció kidolgozásába történő elégtelen befektetés a válaszadók 19 százalékának vezető aggodalma.
Ami a támadások kezelését illeti, 34 százalékuknak nincs stratégiája, 27 százalékuknak pedig csak egy alapstratégiája van. Mindössze 11 százalék dolgozott ki fejlett stratégiát, amely magában foglalja a dedikált API-tesztelést és védelmét.
A felelősségben is megosztottság tapasztalható, a felmérésben részt vevők több mint fele szerint az elsődleges felelősség a fejlesztők, a DevOps vagy a DevSecOps kezében van. Míg csak 31 százalékuk az AppSec vagy az InfoSec csapatokra hárítja az API biztonságáért való felelősséget.
https://betanews.com/2022/03/02/api-attacks-increase-almost-700-percent-in-the-last-year/