Peu de possessions dans la surface d’attaque causent autant de tracas que les API. Non seulement les API de nombreuses organisations sont honnêtement exposées sur Internet, mais elles dépendent également de ces API pour accéder aux informations et applications vitales.
De nombreux groupes de sécurité essaient encore de comprendre que les API sont tout aussi susceptibles d’être exploitées que les points faibles des serveurs ou des réseaux, et ont du mal à maintenir des inventaires à jour des API et vulnérabilités dans l’environnement.
Une nouvelle étude publiée par le fournisseur de sécurité API Salt Security a mis en évidence ce schéma en révélant que 94 % des entreprises réagissant à leur étude ont rencontré des problèmes de sécurité dans les API de production au cours de l’année écoulée, 20 % d’entre eux déclarant que leur organisation a réellement subi une violation d’informations en raison de failles de sécurité de l’API.
Ces problèmes de sécurité peuvent être aussi importants que l’exposition ouverte de données protégées en ligne. Par exemple, parmi la clientèle de Salt, 91 % des APIS exposaient librement des PII et des informations délicates à des stars du risque.
Pour les entreprises, cette étude souligne que de nombreuses organisations doivent réévaluer leurs méthodes de sécurité des API pour garantir qu’elles ont la maturité nécessaire pour sécuriser les API tout au long du cycle de vie de l’avancement.
S’éloignant de la sécurité « shift left »
Il y a quelques années en 2019, Gartner a lancé un ensemble de présomptions de préparation tactique, prévoyant que d’ici 2021, 90 % des les applications auront plus de zones d’attaque sous la forme d’API exposées, et que d’ici 2022, les abus d’API passeront d’un vecteur d’attaque irrégulier au vecteur d’attaque le plus fréquent.
Quand on pense que la toute nouvelle étude de recherche de Salt Security a découvert que le trafic d’attaques d’API a en fait doublé au cours des 12 derniers mois, ces prédictions semblent s’être réalisées.
Dans le même temps, la hausse des attaques axées sur les API montre que les acteurs du danger sont bien conscients que les entreprises ne protègent pas suffisamment leurs API.
En termes simples, l’écriture est sur le mur pour les techniques de décalage vers la gauche pour les tests et la sécurité ; les organisations ont besoin d’une analyse et d’une atténuation des vulnérabilités des API beaucoup plus proactives et constantes.
« Si une organisation s’appuie uniquement sur les capacités de décalage vers la gauche, elle se met en danger. À un certain niveau, les clients semblent apprécier cette différence. Lorsqu’on leur a demandé quelles capacités de la plate-forme de sécurité des API sont extrêmement essentielles, arrêter les attaques se trouvent en haut de la liste, et les pratiques de décalage à gauche étaient tout en bas », a déclaré la vice-présidente marketing de Salt Security, Michelle McLean.
« La conclusion est logique étant donné la nécessité de se protéger maintenant par rapport aux actifs futurs sécurisés, mais les entreprises doivent suivre leurs propres conseils et devenir plus proactives en matière de sécurité des API », a déclaré McLean.
Maîtriser le risque d’exploitation de l’API
McLean note que le risque d’exploitation de l’API n’est pas seulement théorique non plus, avec 34 % des clients de Salt Security qui résistent à plus de 100 tentatives attaques par mois, et 60 % des personnes interrogées gèrent plus de 100 API.
La seule méthode pour les entreprises de se familiariser avec ce paysage est d’avoir une technique de sécurité API avancée, plutôt que de s’appuyer sur des entrées API et des programmes de pare-feu d’application Web (WAF) qui offrent peu de sécurité par rapport à ces types de attaques.
En pratique, une technique innovante de sécurité des API suggère de déployer un service qui a le potentiel de gérer des centaines ou d’innombrables API en constante évolution, de l’avancement à la publication et à l’exécution, tout en mettant à jour immédiatement un stock d’API numériques.
Salt Security s’efforce de satisfaire cette structure en utilisant un moteur de contexte d’API (ACE) ainsi que l’apprentissage automatique et un système expert pour automatiser la découverte des API et détecter automatiquement les vulnérabilités dans la zone de surface d’attaque.
Le marché de la sécurité des API
Conscientes des problèmes de sécurité développés par les API non sécurisées, de nombreuses entreprises s’appuient sur des plateformes de sécurité des API comme Salt Security pour protéger leurs environnements. En réalité, les chercheurs prévoient que le marché de la gestion des API passera d’une valeur de 4,5 milliards de dollars en 2022 à 13,7 milliards de dollars d’ici 2027.
Au cours de l’année précédente, les investisseurs se sont beaucoup intéressés aux solutions de sécurité des API. . Salt Security a levé 140 millions de dollars dans le cadre d’un tour de financement de série D au début de cette année, portant l’évaluation globale de la société à 1,4 milliard de dollars.
Il se termine également contre certains rivaux à croissance rapide comme Noname Security, qui a levé 135 millions de dollars dans le cadre d’un tour de financement de série C en décembre dernier, et a réalisé une évaluation de 1 milliard de dollars.
La plate-forme de Noname Security permet aux organisations de créer un stock d’API en temps réel et peut reconnaître les vulnérabilités et les erreurs de configuration dans toute la zone de surface d’attaque.
D’autres rivaux sont des plates-formes de sécurité d’API à cycle de vie complet comme Traceable AI, qui analysent et découvrent en permanence les API tout en fournissant des analyses comportementales contextuelles pour offrir une sécurité en temps réel contre les risques.
Traceable AI a également levé 60 millions de dollars et atteint une évaluation post-financement de 450 millions de dollars en mai de cette année.
Selon Yaniv Balmas, vice-président de l’étude de recherche chez Salt Security, le niveau de contexte offert est ce qui sépare Salt Security des autres options concurrentes.
« Salt Security est la seule plate-forme sur le marché qui utilise le Big Data à l’échelle du cloud pour relever les défis de sécurité des API. Seul Salt a la capacité d’enregistrer et de standardiser tout le trafic API (tous les appels et réactions) sur des jours et des semaines. Il applique ensuite ses algorithmes d’IA et de ML, qui sont en fait restés sur le marché plus de 4 ans, pour fournir une analyse et une corrélation en temps réel sur tous ces milliards d’appels d’API », a déclaré Balmas.
L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur l’innovation et les transactions d’entreprise transformatrices. En savoir plus sur l’abonnement.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur