כיצד אבטחת מידע מגנה על ערוצי ההכנסות של העסק?

אפליקציות מבוססות API הפכו בשנים האחרונות למנוע עסקי משמעותי בארגונים. אם בעבר חברות שמרו בקנאות על פיתוחים כקניין רוחני שאין לשתף אותו, הרי שבשנים האחרונות ארגונים החלו לפתח אפליקציות כקוד פתוח, שניתן לצרוך בו את הקניין הרוחני ולמעשה לייצר מנוע צמיחה עסקי. ארגונים שונים בעולם זיהו את הפוטנציאל, שלא רק מאפשר להם ערוץ עסקי נוסף, אלא גם כתיבת קוד באופן גמיש (אג'ילי), המאפשר להאיץ את פיתוח היישומים ולהשיק אותם באופן מהיר.

הראשונות לזהות מגמה זו בעשור הקודם היו חברות כגון סיילספורס, אמזון ו-eBay. עיקר המודל העסקי שלהן היום מבוסס על צריכת שירותים דרך API. חברות ענק אחרות המשיכו באימוץ השיטה, וכיום לרוב המכריע של הארגונים יש אתגר פיתוחי בתחום.

למי שזקוק לתזכורת, ממשקי API, הנקראים בעברית ממשקי תכנות יישומים, (ר"ת Application Programming Interface) מאפשרים תקשורת בסטנדרט אחיד, כגון Rest מבוסס JSON או SOAP, XML היותר ותיקים, ולמעשה מאפשרים חיבוריות מהירה לערוץ המידע דרך פורמט אחיד.

מאחר שממשקי API מקדמים נתיבים חדשים לחדשנות, לחיסכון בעלויות ולהגדלת ההכנסות, תעבורה מבוססת API הפכה לתעבורה הצומחת ביותר באינטרנט. למעשה, על פי דו"ח שפורסם מוקדם יותר השנה על ידי אקמאי, תעבורת ה-API מהווה 83% מכל תעבורת הרשת, מגמה שרק תלך ותגדל.

העלייה המטאורית בנפח תעבורת ה-API ברשת משמעותה פיתוח יעיל של יישומים מתוחכמים ועשירים ביכולות, אך מצד שני גם עליה בהתקפות הסייבר. על פי גרטנר, עד 2022 התקפות על API יהיו וקטור התקיפה הנפוץ ביותר ברשת על יישומים הגורמים לחשיפת מידע.

בעולם הבנקאות, הנמצא כעת בעיצומה של מהפכה דיגיטלית ו"בנקאות פתוחה", ישנו מעבר לפיתוח מבוסס API, על מנת לבצע קישוריות מהירה מול צרכני וספקי שירותים פיננסיים, אך גם על מנת להנגיש את המידע בצורה נוחה למשתמשים כחלק ממהפכת הבנקאות הדיגיטלית. בעולם הפיננסי ישנה חשיבות עצומה לעמידה בתקינה, כגון GDPR ו-PSD2, כדי לאבטח את אותם ממשקים.

סיכונים אלו ואטרקטיביות התקיפה, יוצרים אתגרים חדשים לארגונים רבים במגוון תחומים, הנדרשים כעת לאבטח API כמו כל יישום אחר בארגון.

ההשלכות הכלכליות והנזק שיכולים להיגרם מאבטחה לקויה של API יתבטאו בפגיעה מורגשת ומיידית בזמינות שלהם ובהכנסות המתבססות עליהם. דוגמה אחת מני רבות היא פגיעות שהתגלתה ב-API של אובר ב-2019 על ידי חברת אפ סקיור. הפגיעות איפשרה להשתלט על חשבון הנהג, וחשיפת פרטיו הרגישים. מיותר לציין מה היה קורה לשירות אילו חשיפה זו היתה מנוצלת על ידי האקרים.

API. אילוסטרציה: BigStock

איך מגנים נכון על ממשקי API?

ההגנה על הארגון הפכה מאד מורכבת, שכן קיימים בה רבדים רבים, החל מרמת הרשת, דרך הזדהות וכלה ב-API, ועל כל אחד מהרבדים הללו יש להגן בצורה אחרת ועם פתרונות אחרים. על מנת להגן על ממשקי API יש לקחת בחשבון מספר היבטים חשובים:

הגנה על זמינות ה-API – משמע, הגנה על השירות עצמו מפני התקפות רשת, דוגמת DDoS.

הזדהות חכמה ומתקדמת ל-API – מוודאת שהתעבורה נקיה ושהגורמים שניגשים ל-API הם צרכנים אמיתיים ולא בוטים. הזדהות זו לרוב תתבסס על OIDC ו-API Keys.

הגנה על יישומים המתבססים על API – יש להטמיע פתרונות אבטחת מידע להגנה על היישומים עצמם, כדוגמת – WAF Web Application Firewall, שימנעו ניצול לרעה, חדירה לא חוקית וזיהוי חולשות, אך יגנו מפני OWAS Top 10.

ניהול חכם של גרסאות API, הרשאות וטיפול בתעבורה נכנסת ויוצאת, כמו גם אכיפה של הפורמט ומניעת גישת יתר – יאפשרו למפתחים להתמקד בפיתוח API ופחות בנושאים של הגנה.

הכותב הוא מנהל גוף ההנדסה ב-F5 דרום אירופה