अकामाई सर्वेक्षण: एपीआई-विशिष्ट नियंत्रणों की कमी है

फ़िशिंग, गलत कॉन्फ़िगरेशन और गायब पैच सुरक्षा नेताओं के बीच शीर्ष चिंता का विषय हैं, लेकिन वे यह भी कहते हैं कि उनके संगठन अवलोकन उपकरणों को जंग लगने दे रहे हैं।

छवि: एडम50/एडोब स्टॉक सामग्री वितरण, सुरक्षा और क्लाउड सेवा कंपनी अकामाई ने अमेरिकी साइबर सुरक्षा प्रशिक्षण कंपनी एसएएनएस इंस्टीट्यूट के साथ साझेदारी में, सबसे चिंताजनक सुरक्षा जोखिमों की जांच करने वाले एक नए अध्ययन के परिणाम मंगलवार को जारी किए एपीआई के लिए. एपीआई सुरक्षा पर 2022 SANS सर्वेक्षण में पाया गया कि शीर्ष जोखिम फ़िशिंग हमले हैं। % के पास एपीआई खोज उपकरण हैं। यह भी पाया गया कि केवल 29% उत्तरदाता एपीआई सुरक्षा नियंत्रणों का उपयोग करते हैं जो पहले से ही डीडीओएस और लोड संतुलन सेवाओं में शामिल हैं। शून्य-दिन के जोखिम बहुत अधिक विश्वसनीयता प्राप्त कर रहे हैं, गलत कॉन्फ़िगरेशन पर्याप्त नहीं है एप्लिकेशन परत गलत कॉन्फ़िगरेशन के लिए दरवाजा बंद करना उचित एपीआई स्वच्छता: सूची, पैच, खतरे का आकलन शीर्ष छह एपीआई सुरक्षा जोखिम जब पूछा गया कि वे क्या मानते हैं शीर्ष एपीआई सुरक्षा जोखिम, उत्तरदाताओं ने सबसे अधिक बार कहा:

पुन: प्रयोज्य क्रेडेंशियल प्राप्त करने के लिए फ़िशिंग (57।3%)। हमलावर लापता पैच का फायदा उठा रहे हैं (12%)। हमलावर कमजोर एप्लिकेशन/एपीआई का शोषण कर रहे हैं (%)%). सिस्टम प्रशासकों द्वारा सर्वर/सेवाओं का गलत कॉन्फ़िगरेशन (%) उपयोगकर्ताओं द्वारा संवेदनशील/कवर की गई जानकारी का आकस्मिक खुलासा (9.1%). सेवा से इनकार (2.3%) (चित्रा ए). चित्रा ए

शीर्ष एपीआई जोखिम अकामाई सर्वेक्षण उत्तरदाताओं ने रिपोर्ट दी। छवि: अकामाई एपीआई प्रसार सुरक्षा चुनौतियों को और अधिक जटिल बनाता है अकामाई ने इस साल की शुरुआत में बताया कि 488 ने एप्लिकेशन और एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस हमलों के रिकॉर्ड तोड़ दिए हैं। समस्या का एक हिस्सा संगठनों द्वारा उपयोग में आने वाले एपीआई की भारी संख्या है, जो एक ऐसा मुद्दा है जो “आप नहीं जानते कि आप क्या नहीं जानते हैं” जोखिम श्रेणी में अच्छी तरह से फिट बैठता है। उन्होंने यह भी बताया कि कैसे वितरित अनुप्रयोगों की प्रकृति हमलावरों के लिए खतरे की सतह और उत्पादन कोड का हिस्सा होने वाली कमजोरियों की संभावना को बढ़ाती है। हमलों की मात्रा का अंदाजा देने के लिए, इस साल की शुरुआत में अकामाई ने बताया कि एक दिन, 8 अक्टूबर, 488, दुनिया भर में 161 मिलियन एपीआई हमले हुए। (TechRepublic)

रिपोर्ट के अनुसार, सर्वेक्षण के उत्तरदाताओं ने कहा कि उन्होंने भविष्य में एपीआई सुरक्षा अंतराल को बंद करने की योजना बनाई है:

वेब सुरक्षा गेटवे (%). सामग्री वितरण नेटवर्क/लोड बाल में एपीआई सुरक्षा सुविधाएँ एन्सिंग (%) (%) (04चित्रा बी). चित्रा बी

4139701 सर्वेक्षण के उत्तरदाताओं ने जिन प्रौद्योगिकियों/उपकरणों को कहा कि वे अगले दो वर्षों में लागू करने का इरादा रखते हैं। छवि: अकामाई शून्य-दिन के जोखिमों को बहुत अधिक विश्वसनीयता मिल रही है, गलत कॉन्फ़िगरेशन पर्याप्त नहीं है अकामाई में एप्लिकेशन सुरक्षा के महाप्रबंधक रूपेश चोकशी के अनुसार, अकामाई अध्ययन से पता चलता है कि उत्तरदाता गलत तरीके से कॉन्फ़िगर किए गए अनुप्रयोगों के जोखिम को बहुत कम महत्व दे रहे हैं और शून्य-दिन के जोखिमों को बहुत अधिक महत्व दे रहे हैं।

” संगठन की एपीआई सुरक्षा योजना में सुरक्षित एपीआई बनाना और एप्लिकेशन को सही ढंग से कॉन्फ़िगर करना शामिल होना चाहिए। साथ ही, संगठनों को शून्य-दिवसीय जोखिमों को समझना चाहिए, जैसे एपीआई कैसे असुरक्षित हो जाते हैं और शोषण के जोखिम में पड़ जाते हैं। अंतर महत्वपूर्ण है क्योंकि यह दर्शाता है कि मजबूत एपीआई सुरक्षा को एपीआई जीवनचक्र के हर पहलू को महत्वपूर्ण महत्व देने की आवश्यकता है; अन्यथा, कमजोरियां छूट जाएंगी,” चोकशी ने कहा। वास्तव में, कई लोग अपना ध्यान शून्य-दिन के जोखिमों और ओपन सोर्स सॉफ़्टवेयर पैकेजों (यानी, सामान्य कमजोरियाँ और जोखिम) में ज्ञात कमजोरियों की ओर केंद्रित करते हैं। हालाँकि, आँकड़े और वास्तविकता से पता चलता है कि हमलावरों द्वारा एप्लिकेशन लेयर गलत कॉन्फ़िगरेशन का फायदा उठाने की अधिक संभावना है, जिससे संगठनों को महत्वपूर्ण जोखिम और संभावित डेटा उल्लंघनों का सामना करना पड़ता है – बस सार्वजनिक रूप से खुले क्लाउड स्टोरेज बकेट से जुड़े हाल के उल्लंघनों की संख्या को देखें। एपीआई अवलोकन क्षमता में सुधार आवश्यक है। इसे मजबूत लॉगिंग और मॉनिटरिंग को लागू करके हासिल किया जा सकता है। कम से कम विशेषाधिकार की अनुशंसा की जाती है, जिससे प्रत्येक उपयोगकर्ता को अपने कार्यों को करने के लिए केवल आवश्यक न्यूनतम स्तर तक पहुंच की अनुमति मिलती है। किसी संगठन की एपीआई सुरक्षा योजना में शामिल होना चाहिए:

उपयोग में आने वाले एपीआई और उन एपीआई का उपयोग करने वाली प्रक्रियाओं की सूची। उपयोग में आने वाले एपीआई की भेद्यता मूल्यांकन। उन कमजोरियों का फायदा उठाने वाले सक्रिय हमलों का खतरा मूल्यांकन। जोखिम-आधारित महत्वपूर्ण एपीआई कमजोरियों का शमन। साथ ही, 15% उत्तरदाताओं ने 25% और 75% के बीच एपीआई इन्वेंट्री सटीकता की सूचना दी.

देखें: गिगामोन रिपोर्ट गहन अवलोकन क्षमता पर प्रकाश डालती है (TechRepublic)

पेसकाटोर ने लिखा, ”मजबूत प्रमाणीकरण, परिसंपत्ति सूची, भेद्यता प्रबंधन और परिवर्तन नियंत्रण जैसे सुरक्षा स्वच्छता नियंत्रणों को एपीआई सुरक्षा मुद्दों को संबोधित करने की आवश्यकता है।” “एपीआई-केंद्रित हमलों से निपटने के लिए रोकथाम और पहचान को उन्नत करने की आवश्यकता है, और बुनियादी ढांचा सेवाओं (जैसे सामग्री वितरण नेटवर्क और सेवा फ़िल्टरिंग से इनकार) को भी काम पर लगाने की आवश्यकता है।”

Share This Article