À mesure que les API gagnent en importance, leurs problèmes de sécurité augmentent également

<p> &lbrack;ad&lowbar;1&rsqb;<br &sol;>&NewLine;<&sol;p>&NewLine;<div>&NewLine;<p>Les API &lpar;interfaces de programmation d&rsquo&semi;applications&rpar; ont reconstitué l&rsquo&semi;ADN d&rsquo&semi;Internet&period; À mesure qu&rsquo&semi;ils gagnent en importance sur la scène numérique&comma; avec une estimation <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;devops&period;com&sol;api-sprawl-a-looming-threat-to-digital-economy&sol;">200 million<&sol;a> API publiques et privées déjà utilisées&comma; leur utilisation ne devrait qu&rsquo&semi;augmenter à l&rsquo&semi;avenir&period; <&sol;p>&NewLine;<p>Bien que les API aient fait leurs preuves&comma; leur confiance aveugle a conduit à une certaine complaisance dans leur intégration&comma; ce qui a conduit à des disparités majeures concernant leur sécurité&period;<&sol;p>&NewLine;<p><a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;healthitsecurity&period;com&sol;features&sol;increasing-api-adoption-while-addressing-healthcare-cybersecurity-concerns">Les chercheurs ont découvert<&sol;a> que le manque de sécurité des API peut entraîner de 12 à 23 milliards de dollars de cyberpertes annuelles moyennes liées aux API aux États-Unis et de 41 à 75 milliards de dollars dans le monde&period;<&sol;p>&NewLine;<p>Alors que les API s&rsquo&semi;intègrent comme un élément fondamental de notre monde numérique&comma; il est important que les entreprises de tous les secteurs progressent en gardant les yeux grands ouverts non seulement sur les avantages des API&comma; mais aussi sur les clauses de non-responsabilité qu&rsquo&semi;elles doivent connaître afin de se protéger tout en les employant&period; &period;<&sol;p>&NewLine;<p>Examinons les principaux problèmes de sécurité des API en 2022 et comment les entreprises peuvent être sûres de s&rsquo&semi;y préparer&period;<&sol;p>&NewLine;<h2>Définir les vulnérabilités de sécurité de votre entreprise<&sol;h2>&NewLine;<p>L&rsquo&semi;un des défis des API est que de nombreuses entreprises en sont devenues dépendantes&comma; et cette dépendance s&rsquo&semi;accompagne d&rsquo&semi;angles morts&period; La première chose proactive que les entreprises peuvent faire pour se préparer aux défis de sécurité est de définir quels sont ces angles morts&comma; puis de construire des défenses en fonction de ces vulnérabilités&period; <&sol;p>&NewLine;<div class&equals;"wp-block-image">&NewLine;<figure class&equals;"alignleft size-full is-resized"><img loading&equals;"lazy" src&equals;"https&colon;&sol;&sol;thebuzzly&period;com&sol;wp-content&sol;uploads&sol;2022&sol;07&sol;A-mesure-que-les-API-gagnent-en-importance-leurs-problemes&period;png" alt&equals;"À mesure que les API gagnent en importance&comma; leurs problèmes de sécurité augmentent également" class&equals;"wp-image-79046" width&equals;"641" height&equals;"425" &sol;><figcaption>Crédit image &colon; Unsplash&period;com<&sol;figcaption><&sol;figure>&NewLine;<&sol;div>&NewLine;<p>Alors&comma; comment définit-on un angle mort &quest; Commencer avec <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;owasp&period;org&sol;www-project-api-security&sol;">Top 10 des vulnérabilités de sécurité des API de l&rsquo&semi;OWASP<&sol;a> est un bon début pour se familiariser avec les disparités courantes observées dans la sécurité des API&period; Cette liste peut aider les entreprises à définir les plus grandes catégories de vulnérabilités existantes et comment atténuer les risques pour chacune&period;<&sol;p>&NewLine;<p>Heureusement&comma; ces connaissances permettent de faire ce que l&rsquo&semi;on appelle les tests de sécurité des API&comma; où les vulnérabilités et les erreurs peuvent être détectées dès les premières étapes&period; À ce stade&comma; les entreprises peuvent étouffer les problèmes à long terme dans l&rsquo&semi;œuf&comma; en évitant les griefs&comma; les dépenses et&comma; surtout&comma; les violations de données sur la route&period; <&sol;p>&NewLine;<p>Comprendre les différents systèmes qui sont affectés si une faille dans la sécurité des API est exploitée aidera les entreprises à définir le plan de récupération le plus approprié&period; <&sol;p>&NewLine;<h2>Concevoir votre API avec la sécurité au cœur<&sol;h2>&NewLine;<p>Les API&comma; un peu par nature&comma; évoluent rapidement car les équipes de développement doivent créer et mettre à jour des API pour suivre les réseaux en constante évolution&period; Cela crée de nouveaux défis pour les équipes de sécurité qui doivent constamment itérer les stratégies et les outils qu&rsquo&semi;elles utilisent pour protéger les services et les données critiques&period;<&sol;p>&NewLine;<p>Dans un article du United States Cybersecurity Magazine&comma; l&rsquo&semi;expert en cybersécurité Jeff Spivey a souligné l&rsquo&semi;importance d&rsquo&semi;une approche holistique pour sécuriser votre API&period; « La sécurité dès la conception garantit que la gouvernance et la gestion des risques de sécurité sont surveillées&comma; gérées et maintenues de manière continue »&comma; déclare Spivey&period; <&sol;p>&NewLine;<p>Lorsque nous pensons aux meilleures pratiques de sécurité des API Web&comma; nous pensons souvent à simplement bloquer les activités malveillantes&comma; mais la construction d&rsquo&semi;une infrastructure au sein de votre système d&rsquo&semi;API qui limite l&rsquo&semi;exposition des informations sensibles évite que ce cybercrime n&rsquo&semi;arrive à votre porte en premier lieu&period; <&sol;p>&NewLine;<p>L&rsquo&semi;intégration des freins et contrepoids qui garantissent que les API n&rsquo&semi;exposent que la quantité de données nécessaire à leur fonctionnement est un moyen puissant d&rsquo&semi;éliminer les risques&period; L&rsquo&semi;évaluation des points de terminaison de l&rsquo&semi;API avant de mettre en œuvre des modifications majeures du code interne permet également de respecter les exigences de traitement des données et de ne pas compromettre la sécurité&period;<&sol;p>&NewLine;<p>De telles actions génèrent <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;www&period;indusface&period;com&sol;blog&sol;top-6-api-security-best-practices-for-2022&sol;">contrôles d&rsquo&semi;accès <&sol;a>qui permettent uniquement aux utilisateurs privilégiés d&rsquo&semi;accéder à des données confidentielles et aident également à suivre les données et à dissimuler des informations sensibles&period; <&sol;p>&NewLine;<h2>Une philosophie de confiance zéro<&sol;h2>&NewLine;<p>Avec <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;www&period;forbes&period;com&sol;sites&sol;chuckbrooks&sol;2021&sol;02&sol;18&sol;combining-three-pillars-of-cybersecurity-security&sol;&quest;sh&equals;660ac85b6bd4">93&percnt; des cybercriminels<&sol;a> Capables de franchir le périmètre des réseaux d&rsquo&semi;entreprise et d&rsquo&semi;accéder aux ressources réseau internes&comma; un nouveau niveau dans les philosophies de sécurité devient apparent dans les cadres API&period; C&rsquo&semi;est là que la norme de <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;www&period;techopedia&period;com&sol;definition&sol;34572&sol;zero-trust-zt">Confiance zéro &lpar;ZT&rpar;<&sol;a> entre en jeu&period;<&sol;p>&NewLine;<p>La confiance zéro est le terme désignant un ensemble évolutif de paradigmes de cybersécurité qui déplacent les défenses des périmètres statiques basés sur le réseau pour se concentrer sur les utilisateurs&comma; les actifs et les ressources&period; Cela amène les mesures de sécurité typiques de l&rsquo&semi;API&comma; l&rsquo&semi;authentification et l&rsquo&semi;autorisation&comma; à un autre niveau&period; <&sol;p>&NewLine;<p>« La surface d&rsquo&semi;attaque a augmenté avec les API alimentant désormais les applications directement ou indirectement à l&rsquo&semi;intérieur et à l&rsquo&semi;extérieur du périmètre d&rsquo&semi;une entreprise »&comma; a déclaré <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;www&period;linkedin&period;com&sol;in&sol;rakshithgrao&sol;">Rakchith Rao<&sol;a>&comma; co-fondateur et PDG d&rsquo&semi;ApiWiz&comma; une plate-forme APIOps Low Code&period; « Les problèmes de sécurité courants incluent l&rsquo&semi;authentification et l&rsquo&semi;autorisation cassées&comma; la faible limitation du débit au niveau des ressources et de l&rsquo&semi;entité&comma; et l&rsquo&semi;injection de code malveillant&period; » <&sol;p>&NewLine;<div class&equals;"wp-block-image">&NewLine;<figure class&equals;"alignright size-full"><img loading&equals;"lazy" width&equals;"507" height&equals;"459" src&equals;"https&colon;&sol;&sol;thebuzzly&period;com&sol;wp-content&sol;uploads&sol;2022&sol;07&sol;1658455262&lowbar;649&lowbar;A-mesure-que-les-API-gagnent-en-importance-leurs-problemes&period;png" alt&equals;"À mesure que les API gagnent en importance&comma; leurs problèmes de sécurité augmentent également" class&equals;"wp-image-79047" &sol;><figcaption>Logo ApiWiz &colon; avec l&rsquo&semi;aimable autorisation d&rsquo&semi;ApiWiz<&sol;figcaption><&sol;figure>&NewLine;<&sol;div>&NewLine;<p>L&rsquo&semi;authentification API est la restriction ou la suppression des utilisateurs qui abusent d&rsquo&semi;un framework API&comma; tandis que l&rsquo&semi;autorisation se produit une fois l&rsquo&semi;identité confirmée et vérifie si les utilisateurs ou les applications ont l&rsquo&semi;autorisation d&rsquo&semi;accéder à l&rsquo&semi;API&period; Avec une architecture de confiance zéro &lpar;ZTA&rpar;&comma; des principes encore plus stricts sont appliqués lorsqu&rsquo&semi;aucune confiance implicite n&rsquo&semi;est accordée aux actifs ou aux comptes d&rsquo&semi;utilisateurs uniquement en fonction de leur emplacement physique ou réseau ou en fonction de la propriété des actifs&period;<&sol;p>&NewLine;<p>« Il est préférable d&rsquo&semi;adopter un modèle de confiance zéro même au sein de votre entreprise&comma; en construisant tout comme si cela allait être exposé »&comma; a poursuivi Rao&period; « Pour maintenir un contrôle d&rsquo&semi;accès précis au niveau des ressources et des champs&comma; vous devez réduire les exploits et bien sûr&comma; chiffrer vos données et filtrer les données entrantes pour réduire les vulnérabilités&period; »<&sol;p>&NewLine;<p>Cette nouvelle philosophie tient compte du fait que l&rsquo&semi;informatique distribuée offre une surface d&rsquo&semi;attaque en constante expansion&period; Par conséquent&comma; la planification de l&rsquo&semi;infrastructure et des flux de travail de l&rsquo&semi;entreprise doit supposer qu&rsquo&semi;aucun utilisateur final&comma; périphérique informatique&comma; service Web ou connexion réseau ne peut faire confiance&period;<&sol;p>&NewLine;<h2>Un avenir plus sûr pour les API<&sol;h2>&NewLine;<p>La sécurité future du paysage mondial des API dépendra de la manière dont les entreprises gèrent et&comma; plus important encore&comma; protègent l&rsquo&semi;ensemble <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;www&period;apiwiz&period;io&sol;">Cycle de vie des API<&sol;a>&period; En mettant en œuvre ces trois initiatives&comma; les entreprises peuvent mieux garantir la sécurité de leurs données et utiliser les API en toute confiance&period; <&sol;p>&NewLine;<p>A <a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;www&period;apiwiz&period;io&sol;">approche de l&rsquo&semi;API basée sur la plate-forme<&sol;a> La gestion permet aux développeurs de créer un environnement contrôlé&comma; en sécurisant des réseaux d&rsquo&semi;API résilients qui créent finalement un écosystème de confiance&period; Grâce à cette approche de « développeur centralisé »&comma; les capacités de conception&comma; de construction&comma; de test et de surveillance des API sont toutes verrouillées en un seul endroit&comma; offrant une interface ouverte qui fait tout son possible pour empêcher les fuites de données&period;<&sol;p>&NewLine;<p>Les API seront essentielles à la croissance du monde des affaires numériques en 2022 afin de maintenir le trafic causé par l&rsquo&semi;escalade des intégrations technologiques&period; Haut dans l&rsquo&semi;ensemble<a rel&equals;"nofollow" href&equals;"https&colon;&sol;&sol;www&period;apiwiz&period;io&sol;enterprise"> entreprises<&sol;a> peut aider à ouvrir la voie au développement d&rsquo&semi;une source unique de vérité API en forgeant le prochain ensemble de principes de sécurité qui aide à protéger toutes les entreprises au sein de l&rsquo&semi;écosystème élargi&period; <&sol;p>&NewLine;<p class&equals;"has-text-align-center"><em>Divulgation&colon; Cet article mentionne un client d&rsquo&semi;une société du portefeuille Espacio&period;<&sol;em><&sol;p>&NewLine;<&sol;div>&NewLine;<p>&lbrack;ad&lowbar;2&rsqb;<br &sol;>&NewLine;<br &sol;><a href&equals;"https&colon;&sol;&sol;sociable&period;co&sol;technology&sol;as-apis-gain-prominence-so-too-do-their-security-concerns&sol;">Source link <&sol;a><&sol;p>&NewLine;