Security Lab

Низкий уровень безопасности API может стоить организациям до $75 млрд в год

Низкий уровень безопасности API может стоить организациям до $75 млрд в год

Компания Imperva опубликовала отчет " Количественная оценка стоимости отсутствия безопасности API ", в котором проанализировано почти 117 000 инцидентов безопасности. Установлено, что отсутствие безопасности API обходится организациям в $41-75 млрд. ежегодно.

Крупные организации имеют более высокий риск взлома, связанного с API, причем у предприятий с доходом более $100 млрд вероятность нарушения безопасности API в три-четыре раза выше, чем у малых и средних компаний.

Прежде всего, в отчете подчеркивается, что отсутствие приоритетности API является дорогостоящей ошибкой, особенно когда так много небезопасных API подключены непосредственно к внутренним базам данных, где конфиденциальные данные уязвимы для доступа и утечки.

Почему предприятия так ошибаются в обеспечении безопасности API?

В организациях постоянно возникают проблемы с обеспечением безопасности API: за последние 12 месяцев 95% организаций пострадали от инцидентов, связанных с безопасностью API, а 34% признались, что у них отсутствует какая-либо стратегия безопасности API, несмотря на то что API используются в производстве.

"Многие организации не в состоянии защитить свои API, потому что это требует равного участия команд безопасности и разработки", - говорит Лебин Ченг, вице-президент по безопасности API в Imperva. Исторически сложилось так, что эти группы враждуют между собой - безопасность является партией "нет", а devops безответственны и двигаются слишком быстро".

"Чтобы решить эти проблемы, руководители служб безопасности должны дать разработчикам приложений возможность создавать безопасный код, используя легковесные и эффективно работающие технологии", - добавил Ченг.

По мнению Ченга, любые решения, которые внедряют команды безопасности, должны включать в себя обнаружение API и классификацию данных. Таким образом, аналитики могут обнаружить схему API, одновременно определяя и классифицируя данные, которые проходят через него, и используя тестирование для обнаружения любых потенциальных уязвимостей.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!