vendredi, 9 décembre 2022

Quelle pourrait être la cause de l’augmentation des incidents de sécurité des API ?

Noname Security a annoncé les conclusions de son rapport sur la sécurité des API, « The API Security Disconnect– API Security Trends in 2022 », qui a révélé un nombre rapidement croissant d’occurrences de sécurité des API, concernant l’absence de visibilité des API, et un niveau de confiance en soi mal placé dans les contrôles existants.

76 % des participants ont effectivement subi un incident de sécurité API au cours des 12 derniers mois, ces événements étant principalement déclenchés par Dormant/Zombie API, vulnérabilités d’autorisation et programmes de pare-feu d’applications Web.

74 % des experts en cybersécurité ne disposent pas d’un stock complet d’API ou ne comprennent pas quelles API renvoient des informations délicates.

Cela suggère que la plupart des participants auront du mal à remédier à toute menace de sécurité des API – et ne comprendront pas laquelle prioriser – s’ils ne disposent pas d’une exposition granulaire en temps réel aux API de leurs écosystèmes.

Autres résultats cruciaux :

  • 71 % étaient positifs et satisfaits d’obtenir une sécurité API suffisante.
  • 48 % des répondants ont une visibilité sur la posture de sécurité des API actives.
  • Seulement 11 % des personnes interrogées testent les API pour détecter des signes d’abus en temps réel.
  • 39 % testent moins que chaque jour, et environ chaque semaine.
  • 67 % des personnes interrogées sont convaincues que leurs outils DAST et SAST sont capables de tester les API.

Shay Levi, Noname Security CTO, commente les résultats : « Notre la recherche a en fait révélé un décalage entre le niveau élevé d’événements, les faibles niveaux d’exposition, le suivi et les tests fiables de l’environnement API, et la perte de confiance en soi que les outils existants évitent les attaques.Cela souligne la nécessité d’une formation supplémentaire par la sécurité, AppSec et groupes d’avancement autour des réalités du contrôle de sécurité des API. »

Les secteurs traditionnels se battent pour égaler les tests de sécurité des API

Section des installations critiques teurs tels que la production et l’énergie et les énergies, qui reposent généralement sur des systèmes traditionnels, se classent défavorablement lorsqu’ils sont mesurés sur une variété de paramètres. Ils se sont classés les moins bien classés en termes d’événements de sécurité API au cours des 12 derniers mois, avec 79 % des répondants de la production et 78 % des répondants du secteur de l’énergie et des services publics déclarant avoir effectivement rencontré des événements, dont ils étaient au courant.

Énergie et Les entreprises d’énergies étaient également les moins susceptibles d’avoir un stock complet d’API et de comprendre lesquelles renvoient des informations sensibles, avec seulement 19 % d’opinions positives à propos de ce problème. Les sociétés de production ont eu le plus de mal à faire évoluer les services de sécurité des API, avec seulement 30 % d’entre elles déclarant qu’elles trouvaient cela facile. Les tests en temps réel étaient les plus abordables dans l’énergie et les énergies (7 %), tandis que la fabrication, l’énergie et les énergies étaient les plus susceptibles d’effectuer des contrôles de sécurité API moins fréquemment qu’une fois par mois, avec 20 % et 21 % le faisant , respectivement.

Le manque relatif de dépistage dans ces secteurs d’infrastructure vitaux est associé au nombre d’incidents de sécurité des API qu’ils ont subis au cours des 12 derniers mois. Cela souligne la nécessité d’augmenter les exigences dans les secteurs où les informations individuelles reconnaissables et le droit d’auteur peuvent potentiellement être saisis par des acteurs malveillants, sans parler des endroits où l’infrastructure physique et les services essentiels sont menacés.

Le Royaume-Uni et les diffèrent sur l’exposition aux API et les rapports

Il y avait un certain nombre de distinctions concernant le suivi et l’exposition des API entre les 2 pays étudiés, en particulier en ce qui concerne les rapports en temps réel. Plus de répondants britanniques (28 %) ont des stocks d’API complets et savent lesquels renvoient des informations délicates, par rapport aux États-Unis (24 %).

Un nombre accru de répondants aux États-Unis (44 %) avaient une visibilité sur leur inventaire complet d’API, mais n’étaient pas conscients de celles renvoyant des informations sensibles, contre 38 % au Royaume-Uni. Cela pourrait suggérer que les entreprises américaines se préoccupent davantage de la croissance axée sur les API que de la sécurisation des API existantes.

Disparité dans la méthode de sécurité des API entre les rôles de tâche

Les réactions des équipes de sécurité des applications (AppSec) apparaissent différer considérablement des autres tâches étudiées. Alors que 81 % des RSSI déclarent avoir été confrontés à un incident lié à la sécurité des API, seuls 53 % des professionnels d’AppSec ont déclaré l’avoir fait. En outre, 58 % des DSI ont déclaré qu’il était simple de faire évoluer les options de sécurité des API, tandis que près d’un tiers (29 %) des participants AppSec ont admis que c’était difficile.

En termes de filtrage, seulement 7 % des AppSec experts ont évalué en temps réel les indices d’abus, tandis que 25 % ont spécifié qu’ils vérifiaient les vulnérabilités de sécurité des API moins d’une fois par semaine, et jusqu’à une fois par mois.

« La priorisation continue des efforts de transformation numérique introduit une plus grande variété d’applications – et donc d’API – dans les environnements des entreprises », a ajouté Levi.

« Les écarts perçus autour du contrôle de sécurité des API entre les différentes fonctions de tâche posent la question de savoir s’il existe une absence de cohérence entre les entreprises de ce qui se passe en première ligne. Cela doit être résolu de toute urgence; l’avancement des applications doit adopter une méthode de « décalage vers la gauche » vers les tests de sécurité, de sorte que le filtrage soit effectué en pré-production et que les groupes doivent être informés des avantages de cela.

« Nous avons vu de les goûts de Gartner que les API finissent rapidement par être le vecteur d’attaque le plus populaire.Notre recherche démontre que si les entreprises ne résolvent pas les vulnérabilités de sécurité et l’expansion de la surface d’attaque présentée par un nombre croissant d’API, leur capacité à innover et à utiliser la fin- les solutions conviviales seront supprimées par des cyberattaques potentiellement dévastatrices », a conclu Levi.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici