چکیده:
در این مقاله به بررسی تهدیدهای API ها بر روی بستر اینترنت اشیاء می پردازیم و راهکارهایی برای آن ارائه می دهیم.
مقدمه:
به گفته کارشناسان سایبری ، با توجه به موج حملات سایبری ، در سال 2020 امنیت API ها به یک اولویت تبدیل خواهد شد. لذا سازمانها مجبور خواهند شد تمهیداتی برای این حملات بیندیشند.
کلمات کلیدی: IOT، اینترنت اشیاء، واسط های کاربری یا API، تهدید امنیتی
سال گذشته ، گروهی که پروژه امنیت برنامه open web را بعهده داشتند ، مجموعه ای از 10 نقطه آسیب پذیر امنیتی IoT را منتشر کردند در میان این لیست “استفاده از ترکیب های نا امن و یا منسوخ” وجود داشت که محدوده نرم افزارهای شخص ثالث تا اجزای سخت افزاری را در بر می گرفت.
جاناتان دیوینچنزو ، معاون رئیس جمهور در مدیریت محصولات در Signal Sciences (یک بستر خدماتی است که مانیتورینگ و دفاع امنیتی را برای برنامه وب شما ارائه می دهد) در این خصوص اشاره کرد :
از مولفه های نرم افزاری که عموما این موضوع را در بر می گیرد ، رابط های برنامه نویسی نرم افزار است که ریسک امنیت سایبری قابل توجهی را به همراه دارد. (سازمان دهندگان غیر انتفاعی OWASP علاوه بر در دست داشتن این لیست شناخته شده 10 گانه ، لیست مجزایی از آسیب پذیری API ها نیز در اختیار دارند.)
دیوینچنزو با اشاره به امنیت IoT به عنوان یک منطقه هدف بالقوه گفت: “حملات به API ها در سال 2020 افزایش می یابد. با توجه به چشم انداز ارتباط دستگاه ها در حوزه IOT ، شرکت ها می بایست منطقه وسیع تری از حملات را تحت نظارت داشته باشند.
مجموعه ای از پیش بینی ها از سایت Security Boulevard ، پیش بینی ای را در بر می گیرد که نشان می دهد “سوءاستفاده های API می تواند به خصیصه مهمی برای نقض داده ها در برنامه های سازمانی تبدیل شود. در این مقاله همچنین به علاقه کاربران نهایی (Enduser) به حوزه امنیت IOT در سال 2020 اشاره شده است.
با توجه به اینکه توسعه دهندگان برنامه های کاربردی دسترسی گسترده به API ها می دهند ، از نظر یک مهاجم یک هدف جذاب بنظر می رسند. دسترسیAnalytica Cambridge به حفره ای در یک API در فیس بوک ، موجب افشا داده های کاربران شد. سرانجام ، این حفره در افشای داده های حساس 87 میلیون نفر نقش داشت.
در گزارش سال گذشته برایان کربس درخصوص وب سایت Panera Bread ، اطلاعات حدود 37 میلیون مشتری به دلیل آسیب پذیری API به بیرون درز کرد. به گزارش CSO آنلاین ، داده های مشتریان به مدت هشت ماه به صورت متن ساده فاش و دردسترس قرار داشت.
به گفته زین لاکی ، بنیانگذار و مدیر ارشد امنیت در Signal Sciences ،که به ارائه نمونه بارز دیگری از آسیب پذیری های API پرداخته است. افزود: “بیش از 140 شرکت هواپیمایی اطلاعات مشتری را به خطر انداختند زیرا سیستم رزرواسیون به هر کسی این امکان را می داد تا فقط با تغییر یک شناسه در URL ، به سوابق مسافران دسترسی پیدا کنند.”
دیوینچنزو گفت: “API های ناامن می توانند در معرض حجم وسیعی از اطلاعات قرار بگیرند ، از بلیط هواپیما گرفته تا سفارش آنلاین.” “نقض API های ناامن می تواند یک تهدید واقعی باشد زیرا می توانند برای شناسایی و یا به عنوان یک نقطه اتصال برای حمله ، با با شبکه های شرکت ارتباط برقرار کنند.”
یک حقیقت در خصوص امنیت سایبری وجود دارد که می گوید آسودگی ، دشمن امنیت است. ، این حقیقت بدون شک در خصوص بی دقتی در استفاده از API ها صحیح است. براساس نظرسنجی پینگ 2018 ، دید ناکافی در استقرار API امری عادی است.
با این وجود بسیاری از برنامه نویسان که از API ها استفاده می نمایند ، نسبت به امنیت API خود بی اعتنا هستند.
نظرسنجی از فروشنده توسعهAPI های Postman (Postman تنها محیط کامل توسعه API است که تقریباً پنج میلیون توسعه دهنده و بیش از 100000 شرکت در سراسر جهان مورد استفاده قرار می دهند.) نشان داد که تقریباً سه چهارم از پاسخ دهندگان احساس می کنند که API های آنها از امنیت متوسط یا بالاتر از متوسط برخوردار است. در این تحقیق همچنین تعداد فزاینده ای از برنامه نویسان غیر مستقر توسعه دهنده API، کشف شده است.
کاربران API بدون مهیا کردن زیرساخت در بخش امنیت ، به ریسک پذیری فضای سایبر کمک می کنند ، اما یکی دیگر از موانع ، وجود بسیاری از محصولات امنیتی نظارت بر شبکه است که کاملا ناکافی در نگهداری از Tab ها (توابعی که به برای دسترسی به مجوزی نیاز ندارد) API ها تجهیز شده اند. آنها می توانند نشانه های مثبت ساختگی باشند یا برعکس ، هنگامی که چنین هشدارهایی نادیده گرفته نشوند ، تبدیل به مکانی بالقوه برای پنهان کردن حملات می گردند. شرکتها برای کاهش خطر حملات IoT مبتنی بر API باید هزینه های تجاری خود را در سال آینده افزایش دهند.
نتیجه گیری:
در دنیا امروز که سرشار از تهدیدهای امنیتی است و با افزوده شدن فناوری اینترنت اشیا، شرکتها و سازمانها و کاربران شخصی باید توجه بیشتری به حفظ امنیت سیستمهای خود داشته باشند. لذا با دانستن تهدیدهای امنیتی بخصوص از سمت API ها می توان تا حد زیادی از آسیب رسانی آنها جلوگیری کرد.