מגרש המשחקים החדש של ההאקרים הוא כנראה החלק הכי פחות מאובטח אצלכם

כל חברת תוכנה מודרנית נשענת על API, אבל אותם ממשקי תכנות יישומים הם משטח תקיפה רחב ומסוכן שקורץ להאקרים. אז איך מתגוננים ומה עושים אם כבר נפגעתם?

מקור: Unsplash

מאת הילה זיגמן זינשטיין, סמנכ”ל מוצרים ב-Noname Security

לא מזמן אחד העובדים שלנו סיפר שנהג להמר באתר ספורט מוכר – אבל הפסיד שוב ושוב. אחרי שהתערב על אחד ההימורים, הוא החליט לפרוץ לממשק תכנות היישומים של אותו אתר וכך ניצח. בשנים שעברו מאז, התופעה הלכה והתרחבה – והפריצה ל-API הפכה מטריק לא מזיק בהתערבות בין חברים לטקטיקה מועדפת של פושעי רשת. הפריצה לחברת האשראי אקוויפקס מצלצלת לכם? 147 מיליון חשבונות של לקוחות החברה נגנבו דרך פרצת API.

תעשיית ההייטק מכירה היטב את המונח API – ממשק תכנות יישומים, שמאפשר לכל מתכנת להתממשק לשירותים של חברה מסוימת ולייבא אותם לתוך התוכנה שהוא בונה. כך, חברת שליחויות מזון לא צריכה למפות בעצמה את כל הכבישים בארץ, אלא פשוט מתממשקת לשירות מיפוי וניווט קיים. היום חברת תוכנה או שירות בלי API לא קיימת באקוספירה – היא פשוט בלתי נראית. ואתם לא רוצים להיות בלתי נראים, אלא אם אתם מנסים להסתתר מהאקרים.

מגרש המשחקים של ההאקרים

ממש כמו מפתחים, גם האקרים מתים על ה-APIs, שהתפתחו משמעותית לאורך שני העשורים שבהם הם קיימים. קל ליצור אותם, השימוש בהם תדיר ונוח, ולכן מרבית הארגונים משתמשים בהם כמעט לכל דבר העולה על הדעת. מפתחים כותבים עוד ועוד ממשקים כדי שמפתחים אחרים יתממשקו אליהם, וכך ספקי ה-API והצרכנים שלהם גדלים בהתאמה.

הגידול כל כך מהיר ועצבני שחברות רבות מתקשות לעקוב, ולא תמיד יודעות להגיד מאיפה ה-API מגיעים ולאן הם מנותבים, איזה טראפיק עובר בהם, איך הוא נראה, אם הוא עומד בתקנים, אם הקונפיגורציה כתובה נכון, אם הוא פונה לאינטרנט או לא ועוד. יתרה מכך, מרבית הארגונים אפילו לא יודעים כמה APIs יש להם – מספר שיכול להגיע למאות אלפים בארגון אחד בלבד.

המקור לבעיה הוא שמפתחים אינם אנשי אבטחה. הם דואגים שה-API יהיה כמה שיותר פונקציונלי, שיהיה בו כמה שיותר מידע ושהוא יהיה נגיש ככל האפשר. אבטחת המידע אינה חלק מתהליך התכנון, ובחלק מהמקרים בכלל אין אבטחה. מנקודת מבטם של האקרים, הממשקים הופכים למגרש משחקים של ממש – משטח תקיפה רחב ומסוכן, בו מופקרות כמויות של מידע אישי, מסחרי ורגיש, בגלל אינספור פרצות בגדר הווירטואלית של הארגון. בין הסיבות לאבטחה לקויה ניתן למנות אותנטיקציה לקויה של משתמשים, אי הגבלת קצב השימוש, חשיפת יתר של מידע וניטור חסר.

דייגים ובינה מלאכותית

אז איך מתגוננים? הדרך הכי טובה היא כמובן להגיע מוכנים. לבנות מראש את האבטחה כחלק מהמערכת, להגדיר את המידע שה-API רשאי ולא רשאי להציג, למפות את ה-APIs הקיימים ולנטר אותם על בסיס קבוע. אם כבר נפגעתם, אתם כמובן צריכים להמשיך למפות ולנטר – אבל אתם נדרשים לעשות זאת הרבה יותר מהר.

בשני המקרים, אם אתם לא בביזנס של אבטחת מידע, כנראה שתפנו לחברה חיצונית שתעשה זאת עבורכם – אבל אף ארגון לא ירצה שחברה זרה תחטט לו במידע הכי רגיש. בשוק קיימים פתרונות שמותקנים אצל החברות המבקשות להתגונן (בהן גופים גדולים ורגישים כמו בנקים, קמעונאים וחברות תרופות), לומדים את המערכת ועובדים על גביה, מבלי לחשוף בפני החברה החיצונית מידע פנימי.

כדי למצוא את פרצות האבטחה ב-API, אותן חברות אבטחה מדמות את עצמן לדייגים שיושבים על גדות נהר שוצף מידע ודגים ממנו את המתקפות, מבלי לפגוע בדאטה הלגיטימי שזורם בו. כדי לנתח כמויות כל כך גדולות ומגוונות של מידע, הן מפעילות קבוצת מחקר חזקה של עובדים מחברות ענק ואנשי סייבר התקפי שיודעים לחשוב כמו האקרים.

חברות האבטחה גם מפתחות ומשתמשות בבינה מלאכותית שאוספת, מנתחת ולומדת לזהות כל פעילות חשודה ולהתריע עליה. חלק מהלקוחות הם תאגידים שעובדים עם פתרונות אבטחת API קבועים; אחרים הם לקוחות חירום, שמגיעים רק אחרי שהותקפו, ולפעמים אפילו לא יודעים דרך איזה API נוצרה הפרצה.

גם הצפה בזיהויים של ניסיונות פריצה, שחלקם false-positive, עלולה לגרום לסינדרום “זאב זאב” – לכן לחברות חשוב מאוד ללמוד את הלקוחות, להבין איזה מידע הם רוצים ואיך ירצו לקבל אותו – באופן מיידי או בדו”ח מסכם, מפורט או מתומצת, צלילה עמוקה או שחייה ברדודים. מלבד זאת, חברה טובה תספק ללקוחות כלים שישפרו את האבטחה על הממשקים הנוכחיים והעתידיים שלה, כמו אוסף best practices לתכנות APIים, וזיהוי בעיות עוד לפני שהן מגיעות לשלב הפרודקשן.

אחד הסממנים לעלייה בפופולריות של פריצות API הוא הגידול במספר הכתבות בנושא, שמתפרסמות כמעט מדי יום – וכנראה מייצגות רק חלק קטן מהפריצות בפועל. מחקר של גרטנר חוזה שכבר בשנה הבאה פרצות API יהיו וקטור התקיפה הגדול ביותר. זה מפחיד, אבל זה בדיוק המקום להיות בו כבר עכשיו – לפני המתקפה הבאה.

הכתבה בחסות Noname Security

חברת הסטארט-אפ Noname Security היא חברת סייבר בתחום ה-API Security שהוקמה בשנת 2020. המערכת שלה מספקת פתרון אבטחה לממשקי API של תאגידים, שדרכה הם יכולים לקבל תמונת מצב מלאה לגבי פעילות ה-API שלהם ולהיחשף לאנומליות שמעידות על חולשת אבטחה בסביבה שלהם. המערכת של החברה מבוססת AI, וזיהוי חולשות האבטחה נעשה בשילוב עם למידת סביבת הלקוח. לפי חברת המחקר גרטנר, ממשקי API עתידים להיות ורטיקל התקיפה הנפוץ ביותר עד שנת 2022. הפתרון שפיתחה החברה הביא לצמיחה מואצת ביותר ולעשרות לקוחות משלמים מקרב חברות Fortune500 - בחודש יוני 2021 גייסה החברה 60 מיליון דולר בסבב גיוס שני, חצי שנה לאחר שגייסה את סבב הגיוס הראשון שלה. כעת סך גיוסיה של Noname עומד על 85 מיליון דולר.

כתבת אורחת

הגב

12 תגובות על "מגרש המשחקים החדש של ההאקרים הוא כנראה החלק הכי פחות מאובטח אצלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אאאאאאא
Guest

הי,
כתוב טוב, אבל שיטת ההגנה המוצעת פשוט לא הגיונית. אי אפשר ל”תקן” את הapi מדובר על הכנסת קוד סקיוריטי למוצר. כמו כן, כמעט ואין משמעות למציאת סיכונים קיימים ב api אם אתה לא מסוגל להגן עליהן, זה לעג לרש, מה עוד שבעקרון יש אינסוף כאלו.
בקיצור עתוב יפה אבל פשוט מטעה שיש להם פתרון ואין להם…

uri
Guest

לא הבנתי למה לא ניתן לתקן api?
אפשרי ועוד איך אפשרי.

אוי, שוב דניאל והשטויות שלו
Guest
אוי, שוב דניאל והשטויות שלו

אתם אשכרה מתהדרים בזה שעובד שלכם ביצע פשע אינטרנט ופרץ ל-API של אתר הימורים? ועוד קוראים לזה “טריק לא מזיק בהתערבות בין חברים”. מביך

אבי דניאלוביץ׳
Guest
אבי דניאלוביץ׳

סגנון מכירה מבוסס הפחדה, הימורים ועבירות על החוק, לרגע חזרתי לעגלות בארה”ב. מריח טוב, אין ספק..

אחד שתורם לפרוייקטים פתוחים
Guest
אחד שתורם לפרוייקטים פתוחים

one does not simply stop using the word api.
הילה, את כותבת את המילה API שוב ושוב בלי להבין את המשמעות האמיתית
ומערבבת אותה עם rest api. בבקשה, תהיי מקצועית בכתבה שלך.

ברדוגומפלגאותנו
Guest
ברדוגומפלגאותנו

היי
המקלדת השלימה בטעות “מהיר ועצבני”…

אבטחה, מה זה?
Guest

“המקור לבעיה הוא שמפתחים אינם אנשי אבטחה. הם דואגים שה-API יהיה כמה שיותר פונקציונלי, שיהיה בו כמה שיותר מידע ושהוא יהיה נגיש ככל האפשר”
הייתי מפטרת את כל צוות הגיוס אצלכם… :)

היוש
Guest

כמה בולשיט…

איש שמיש
Guest

אחלה כתבה . עוד כאלהה

עובדים איכותיים בחברה איכותית
Guest
עובדים איכותיים בחברה איכותית

היי אני סוחר סמים ופעם פרצתי לקיוסק וגנבתי כסף מהקופה. אפשר לעבוד אצלכם?

טים
Guest

כתבה שיטחית ואף מביכה באתר מקצועי. למי בדיוק אתם פונים?

יניב
Guest

מלבד להבין ש – API הוא משטח תקיפה להאקרים, לא ראיתי הרבה תובנות ב”טור” הזה.

להבא מוטב שתרשמו ובגדות מדור פרסומי, כמו בעיתונים. לא “הכתבה בחסות…”
כי זו לא כתבה.

wpDiscuz

תגיות לכתבה: