F5 opublikowało wyniki raportu 2024 State of Application Strategy Report: API Security na temat strategii aplikacji, który ujawnia niepokojące fakty na temat aktualnego stanu bezpieczeństwa API w różnych sektorach.
Raport 2024 State of Application Strategy Report: API Security podkreśla znaczące luki w ochronie API, narażając je na potencjalne zagrożenia, które mogą zagrozić bezpieczeństwu i operacjom przedsiębiorstw. Te wyzwania są jeszcze bardziej uwidocznione przez szybki wzrost liczby API w dzisiejszym cyfrowym krajobrazie.
Raport wykazuje, że mniej niż 70% API które są bezpośrednio wykorzystywane przez klientów (czyli np. w aplikacjach lub usługach online, z których korzystają ludzie), jest zabezpieczonych protokołem HTTPS (Hypertext Transfer Protocol Secure)[2]. Oznacza to, że niemal jedna trzecia kluczowych interfejsów pozostaje podatna na ataki, np. na przechwycenie danych lub wprowadzenie złośliwego kodu. Dla porównania, obecnie 90% stron internetowych wykorzystuje HTTPS, co stanowi rezultat wieloletnich działań mających na celu zapewnienie bezpiecznej komunikacji online.
API stanowią fundament transformacji cyfrowej, integrując kluczowe usługi i aplikacje w firmach na całym świecie – podkreśla Lori MacVittie, Distinguished Engineer, F5. – Jednakże nasz raport pokazuje, że wiele organizacji nie nadąża z zabezpieczaniem tych cennych zasobów, zwłaszcza w kontekście nowych zagrożeń związanych z AI.
Najważniejsze wnioski z raportu
- Rosnąca liczba API i zróżnicowane środowiska: Przeciętna organizacja zarządza obecnie ponad 421 różnymi API, z czego większość funkcjonuje w chmurze publicznej. Mimo to, wiele z nich – zwłaszcza skierowanych do klientów – pozostaje niechronionych.
- Ewolucja API w połączeniu z AI: Coraz częstsze integracje API z usługami AI, takimi jak OpenAI, stawiają nowe wyzwania w zabezpieczeniu zarówno ruchu przychodzącego, jak i wychodzącego. Obecne praktyki skupiają się głównie na ruchu przychodzącym, pozostawiając wychodzące wywołania API podatne na zagrożenia.
- Fragmentacja odpowiedzialności za bezpieczeństwo API: Raport wskazuje podzieloną odpowiedzialność za bezpieczeństwo API w organizacjach – 53% zabezpiecza je w ramach bezpieczeństwa aplikacji, natomiast 31% za pomocą dedykowanych platform zarządzania API. Taki podział może prowadzić do luk w ochronie i niespójnych praktyk bezpieczeństwa.
- Zapotrzebowanie na programowalne rozwiązania bezpieczeństwa: Respondenci uznali programowalność[3] za najcenniejszą cechę bezpieczeństwa API, co podkreśla potrzebę inspekcji w czasie rzeczywistym oraz reakcji na ruch i zagrożenia API.
Działania niezbędne dla poprawy bezpieczeństwa API
Aby rozwiązać luki w bezpieczeństwie organizacje powinny wdrożyć kompleksowe strategie obejmujące pełen cykl życia API – od etapu projektowania, po wdrożenie. Dzięki integracji bezpieczeństwa API na każdym etapie pozwoli firmy mogą lepiej chronić swoje cyfrowe zasoby przed rosnącą liczbą zagrożeń.
API są integralną częścią ery AI, ale muszą być zabezpieczone, aby zapewnić bezpieczne i efektywne funkcjonowanie usług AI i cyfrowych – dodaje MacVittie. – Nasz raport to wezwanie do działania dla organizacji, aby ponownie oceniły swoje strategie bezpieczeństwa API i podjęły niezbędne kroki w celu ochrony swoich danych i usług.
Pełen raport z 2024 roku na temat strategii aplikacji: bezpieczeństwo API :2024 State of Application Strategy Report: API Security