کسبوکارهای تجاری به طور فزایندهای بر رابطهای برنامهنویسی کاربردی (API) تکیه میکنند تا ارتباط و یکپارچهسازی یکپارچه بین سیستمها و خدمات مختلف را فراهم کنند. این APIها بلوکهای ساختمان ارتباطات آنلاین را تشکیل میدهند که هم در داخل و هم در خارج استفاده میشوند و به سازمانها کمک میکنند تا مرزهای نوآوری را پیش ببرند. یک مفهوم رایج در سراسر امنیت سایبری این است که سازمان ها نمی توانند از آنچه که نمی بینند محافظت کنند، که به ویژه برای سفر امنیتی API هر سازمانی صادق است. با این حال، عمدتاً به دلیل رشد هوش مصنوعی (GenAI) که توسعه دهندگان را قادر می سازد تا برنامه ها و API ها را سریعتر از همیشه در مقیاس وسیع ایجاد کنند، خطرات جدیدی ایجاد می شود که فناوری فعلی برای همگام شدن با آنها مجهز نیست.
رشد هوش مصنوعی مولد انقلابی در ایجاد و استقرار API ها ایجاد کرده است، نمونه سازی سریع، آزمایش و استقرار را تسهیل کرده و چرخه توسعه را به طور قابل توجهی سرعت می بخشد. در حالی که این توسعه شتابان نوآوری را تقویت می کند، خطرات جدیدی را نیز معرفی می کند که فناوری فعلی ممکن است برای کاهش آن تلاش کند. حجم زیاد و سرعتی که APIها با آن تولید می شوند می تواند از اقدامات امنیتی سنتی پیشی بگیرد و آسیب پذیری های بالقوه ایجاد کند.
در زمینه GenAI، تکثیر سریع API ها می تواند سطح حمله گسترده ای ایجاد کند که دفاع از آن چالش برانگیز است. با توجه به ماهیت پویای APIها، به ویژه آنهایی که از طریق هوش مصنوعی تولید می شوند، سازمان ها برای پیگیری API های خود با چالش های متعددی روبرو هستند. بهروزرسانیها و تغییرات مداوم میتواند انطباق را دشوار کند و ابزارهای امنیتی سنتی ممکن است برای مدیریت چشمانداز API در حال تحول مجهز نباشند. برای اطمینان از امنیت و انطباق، سازمان ها باید استراتژی های مدیریت API قوی، از جمله دید جامع، کشف، حاکمیت، تشخیص تهدید و کاهش همه API ها را اتخاذ کنند.
رئیس بازاریابی محصول در Salt Security.
امنیت API سهامداران زیادی دارد
امنیت API یک مسئولیت مشترک بین چندین ذینفع در یک سازمان از جمله توسعه دهندگانی است که مسئول اجرای شیوه های کدگذاری امن و رعایت دستورالعمل های امنیتی در طول توسعه API هستند. تیم های امنیتی که وظیفه نظارت، ارزیابی و کاهش خطرات امنیتی مرتبط با API ها را بر عهده دارند؛ پرسنل عملیاتی که اطمینان حاصل می کنند که استقرار API ایمن و مطابق با سیاست های سازمانی است. و در نهایت، رهبران کسب و کار که در نهایت مسئول پرورش فرهنگ امنیت، تخصیص منابع لازم و ادغام امنیت در هر مرحله از چرخه حیات API هستند.
مشارکت چند سهامدار در امنیت API، مانند بسیاری از رشتهها، میتواند چالشهای متعددی را ایجاد کند که سازمانها باید برای اطمینان از یک اکوسیستم API ایمن و کارآمد، که از اولویتها، مسئولیتها، سطوح تخصص و کانالهای ارتباطی متفاوت ناشی میشود، مقابله کنند. اینها را می توان به طور مؤثر از طریق ارتباطات روشن، همکاری ، آموزش مداوم و اتخاذ چارچوب ها و ابزارهای امنیتی قوی مدیریت کرد. با اتخاذ یک رویکرد پیشگیرانه، سازمان ها شانس بیشتری برای اطمینان از ایمن، سازگار - و انعطاف پذیر - API های خود در برابر تهدیدات در حال تحول دارند.
خطرات امنیت ناکافی API و عدم انطباق
APIهای ناامن یک هدف اصلی برای مهاجمان هستند و خطرات قابل توجهی را برای سازمانها به دلیل نقض دادهها ناشی از دسترسی غیرمجاز به دادههای حساس ایجاد میکنند. اینها می تواند منجر به آسیب مالی و اعتبار قابل توجهی شود، زیرا مهاجمان از آسیب پذیری ها برای دسترسی به سیستم های حیاتی سوء استفاده می کنند. علاوه بر این، عدم رعایت مقررات می تواند منجر به عواقب قانونی و جریمه شود.
مقررات مربوطه شامل GDPR، برای حفاظت از حریم خصوصی ، HIPAA برای محافظت از اطلاعات پزشکی و PCI DSS که از دادههای دارنده کارت مراقبت میکند. در بخش مالی، PSD2 اصلاح شده در اتحادیه اروپا الزامی میکند که بانکها و مؤسسات مالی خدمات پرداخت و دادههای مشتریان خود را از طریق APIها برای ارائهدهندگان شخص ثالث باز کنند. پس ، PSD2 عمیقاً بر امنیت API تأثیر می گذارد و نیاز به احراز هویت قوی، رمزگذاری ، کنترل های دسترسی و نظارت مستمر را افزایش می دهد. برای موسسات مالی و ارائه دهندگان شخص ثالث، اطمینان از امنیت API یک الزام انطباق و یک جزء حیاتی برای محافظت از داده های مشتری و حفظ اعتماد است.
همچنین ضروری است که در مورد مقررات نوظهور مانند دستورالعمل NIS2 که الزامات امنیت سایبری را برای ارائه دهندگان زیرساخت های حیاتی از اکتبر سال جاری گسترش می دهد، آگاه باشید. علاوه بر این، امنیت API به طور فزایندهای با استانداردها و ابتکارات Zero Trust گستردهتر مرتبط میشود و بر اهمیت کنترلهای دسترسی دقیق و نظارت مستمر تأکید میکند.
افزایش بلوغ امنیتی API برای مقابله با اشتباهات رایج
بسیاری از سازمان ها به دلیل کمبود موجودی جامع با مدیریت API دست و پنجه نرم می کنند. بدون موجودی کامل API ها، شناسایی و رفع آسیب پذیری ها غیرممکن است. علاوه بر این، APIها اغلب بدون رعایت استانداردهای امنیتی قوی مستقر می شوند و آنها را در معرض بهره برداری قرار می دهند. همانطور که گفته شد، ابزارهای امنیتی سنتی ممکن است با ماهیت پویای APIهای تولید شده توسط GenAI همگام نباشند.
برای افزایش بلوغ برنامههای امنیتی API خود، سازمانها باید یک پلتفرم امنیتی جامع API را در نظر بگیرند که امکان مشاهده مداوم، کشف، حاکمیت وضعیت و تشخیص تهدید رفتاری را فراهم میکند. علاوه بر این، برای گرد هم آوردن گروههای ذینفع پراکنده، انجام یک تلاش هماهنگ برای ادغام امنیت در چرخه عمر توسعه از طریق سیاستهای تعیینشده، بهویژه در مورد GenAI، به جاسازی امنیت در کل فرآیند توسعه API کمک میکند. در نهایت، با انجام ارزیابی های امنیتی منظم، سازمان ها می توانند به طور مداوم وضعیت امنیتی API ها را برای شناسایی و کاهش آسیب پذیری ها ارزیابی کنند.
همگرایی GenAI و API ها فرصت ها و چالش هایی را برای سازمان ها ایجاد می کند. با پرداختن به نگرانیهای امنیتی API و کار در میان سهامداران برای بهبود همکاری، ارتباطات و حاکمیت و همچنین اعمال کنترلهای فنی خاص API، سازمانها میتوانند از قدرت GenAI استفاده کنند و در عین حال از داراییها و دادههای حیاتی خود محافظت کنند. اطمینان از امنیت API قوی برای محافظت از اطلاعات حساس، حفظ انطباق و ایجاد یک محیط تجاری امن بدون به خطر انداختن نوآوری ضروری است.
ما بهترین VPN تجاری را معرفی کرده ایم.
این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، اطلاعات بیشتری را در اینجا بیابید: https://www.techradar.com/news/submit-your-story-to-techradar-pro
ارسال نظر