Η Google ανακοίνωσε σήμερα μια προεπισκόπηση του Advanced API Security, ενός νέου προϊόντος που κατευθύνεται στο Google Cloud που έχει σχεδιαστεί για να ανιχνεύει απειλές ασφαλείας που σχετίζονται με API. Χτισμένη στο Apigee, την πλατφόρμα της Google για διαχείριση API, η εταιρεία λέει ότι οι πελάτες μπορούν να ζητήσουν πρόσβαση από σήμερα.
Συντομογραφία του «application programming interface», τα API είναι τεκμηριωμένες συνδέσεις μεταξύ υπολογιστών ή μεταξύ προγραμμάτων υπολογιστών. Η χρήση API αυξάνεται, με μια έρευνα να διαπιστώνει ότι περισσότερο από το 61,6% των προγραμματιστών βασίστηκαν σε API περισσότερο το 2021 από ό,τι το 2020. Αλλά γίνονται επίσης όλο και περισσότερο στόχος επιθέσεων, κάτι που κάνει το Advanced API Security ακόμα μεγαλύτερη ανάγκη. Σύμφωνα με μια έκθεση του 2018 που ανατέθηκε από τον προμηθευτή κυβερνοασφάλειας Imperva, τα δύο τρίτα των οργανισμών εκθέτουν μη ασφαλή API στο κοινό και στους συνεργάτες.
Δείτε επίσης: ΗΠΑ: Γερουσιαστές ζητούν από την FTC να διερευνήσει τις πρακτικές δεδομένων των Google και Apple
Το Advanced API Security ειδικεύεται σε δύο εργασίες: τον εντοπισμό εσφαλμένων διαμορφώσεων API και τον εντοπισμό bots. Η υπηρεσία αξιολογεί τακτικά διαχειριζόμενα API και παρέχει συνιστώμενες ενέργειες όταν εντοπίζει ζητήματα διαμόρφωσης και χρησιμοποιεί προρυθμισμένους κανόνες για να παρέχει έναν τρόπο αναγνώρισης κακόβουλων bots εντός της κυκλοφορίας API. Κάθε κανόνας αντιπροσωπεύει έναν διαφορετικό τύπο ασυνήθιστης κίνησης από μια μεμονωμένη διεύθυνση IP. Εάν ένα μοτίβο επισκεψιμότητας API πληροί οποιονδήποτε από τους κανόνες, το Advanced API Security το αναφέρει ως bot.
«Τα λάθος διαμορφωμένα API είναι ένας από τους κύριους λόγους για συμβάντα ασφαλείας API. Ενώ ο εντοπισμός και η επίλυση εσφαλμένων διαμορφώσεων API είναι κορυφαία προτεραιότητα για πολλούς οργανισμούς, η διαδικασία διαχείρισης διαμόρφωσης είναι χρονοβόρα και απαιτεί σημαντικούς πόρους», δήλωσε ο Vikas Ananda, επικεφαλής προϊόντος στο Google Cloud, σε μια ανάρτηση ιστολογίου που κοινοποιήθηκε στο TechCrunch πριν από την ανακοίνωση. «Το Advanced API Security διευκολύνει τις ομάδες API να εντοπίζουν διακομιστές μεσολάβησης API που δεν συμμορφώνονται με τα πρότυπα ασφαλείας. Επιπλέον, το Advanced API Security επιταχύνει τη διαδικασία εντοπισμού παραβιάσεων δεδομένων εντοπίζοντας bot που οδήγησαν με επιτυχία στον κωδικό απόκρισης κατάστασης επιτυχίας HTTP 200 OK.»
Με την κυκλοφορία του Advanced API Security, η Google προφανώς επιδιώκει να ενισχύσει τις προσφορές ασφαλείας της υπό την Apigee, την οποία απέκτησε το 2016 για πάνω από μισό δισεκατομμύριο δολάρια. Αλλά η εταιρεία ανταποκρίνεται επίσης στον αυξημένο ανταγωνισμό στον τομέα της ασφάλειας API με το Advanced API Security. Οι νεοσύστατες εταιρείες που παρέχουν προϊόντα ασφάλειας στον κυβερνοχώρο που εστιάζουν στο API περιλαμβάνουν τις Salt Security, Noname Security και Neosec. Πολλοί καθιερωμένοι πωλητές έχουν επεκτείνει τις προσφορές τους τα τελευταία χρόνια επίσης, συμπεριλαμβανομένων των Barracuda, Akamai, 42Crunch, Traceable, Ping Identity και Signal Sciences. Τον Μάρτιο, η Cloudflare κυκλοφόρησε μια νέα πύλη με στόχο την ενίσχυση της ασφάλειας API. Και τον Μάιο, η Imperva εξαγόρασε την εταιρεία ασφάλειας API CloudVector.
Δείτε επίσης: Google: Οι χρήστες Hangouts θα πρέπει να μετακινηθούν στο Chat
Ενώ η κριτική επιτροπή δεν γνωρίζει πόσο καλά αποδίδουν αυτά τα προϊόντα σε σύγκριση με το Advanced API Security, η απειλή επιθέσεων μέσω API είναι πολύ πραγματική. Εταιρείες όπως η Peloton, η Parler, ακόμη και το LinkedIn έχουν πέσει θύματα επιθέσεων που βασίζονται σε API τους τελευταίους μήνες. Δεν είναι οι μόνοι. Σύμφωνα με μια πρόσφατη μελέτη από το Cloudentity, το 44% των εταιρειών αντιμετώπισε «σημαντικά» προβλήματα εξουσιοδότησης API που σχετίζονται με το απόρρητο, τη διαρροή δεδομένων και την έκθεση ιδιοκτησίας αντικειμένων με εσωτερικά και εξωτερικά API. Ωστόσο η Google με την απόφασή της να λανσάρει το Advanced API Security μας κάνει σίγουρα να αισθανόμαστε πιο ασφαλείς.
Πηγή: techcrunch.com
