అప్లికేషన్ ప్రోగ్రామింగ్ ఇంటర్ఫేస్ (API) దుర్బలత్వాల ద్వారా సైబర్ సెక్యూరిటీ దాడులు మరియు ఎంటర్ప్రైజ్ నెట్వర్క్ చొరబాట్లను ముందు ఉంచడంలో వాటా ఉన్న ఎవరైనా ఇప్పుడు నిపుణుల సలహాదారులు మరియు భద్రతా నివేదికలను నొక్కవచ్చు.
సాల్ట్ సెక్యూరిటీ జూలై 14 న సాల్ట్ ల్యాబ్స్ ను ప్రారంభించినట్లు ప్రకటించింది, ఇది API దుర్బలత్వాలపై పరిశోధనలను ప్రచురించడానికి ఇప్పుడు పబ్లిక్ ఫోరమ్. దాని దుర్బలత్వం మరియు బెదిరింపు పరిశోధనలతో పాటు పరిశ్రమ నివేదికల ద్వారా, API ప్రమాదానికి వ్యతిరేకంగా మౌలిక సదుపాయాలను కఠినతరం చేయడానికి చూస్తున్న సంస్థలకు సాల్ట్ ల్యాబ్స్ ఒక వనరు అవుతుంది.
API రిస్క్ మరియు దుర్బలత్వ పరిశోధన ముఖ్యాంశాలపై అందుబాటులో ఉన్న సమాచారంలో శూన్యతను పూరించాలని కంపెనీ లక్ష్యంగా పెట్టుకుంది. API భద్రతా బెదిరింపులపై ప్రజలలో అవగాహన పెంచడానికి, API ప్రమాదానికి వ్యతిరేకంగా మౌలిక సదుపాయాలను కఠినతరం చేయడానికి మరియు API లను దాడి-ప్రూఫ్ మరియు స్థితిస్థాపకంగా మార్చడం ద్వారా వ్యాపార ఆవిష్కరణలను వేగవంతం చేయడానికి సాల్ట్ సెక్యూరిటీ కస్టమర్లకు, అలాగే విస్తృత పరిశ్రమకు సాల్ట్ ల్యాబ్స్ ఒక వనరుగా సృష్టించబడ్డాయి.
సాల్ట్ ప్రకారం, API భద్రతా ఆందోళనలు వ్యాపార ఆవిష్కరణలకు ముఖ్యమైన నిరోధకంగా మారాయి.
సాల్ట్ తన మొదటి పరిశోధన నివేదికను ఆర్థిక సేవల వ్యాపారాలను ప్రభావితం చేసే ఇటీవల కనుగొన్న నాలుగు API దుర్బలత్వాలను వివరించింది. ఈ మొట్టమొదటి బెదిరింపు పరిశోధన నివేదిక, "ఫైనాన్షియల్ సర్వీసెస్ ప్లాట్ఫామ్పై బహిర్గతం చేసిన వివరణాత్మక ఫైనాన్షియల్ రికార్డ్స్" అటువంటి అవుట్లెట్కు ఒక అద్భుతమైన ఉదాహరణగా పనిచేస్తుంది
కస్టమర్ ఫైనాన్షియల్ రికార్డులను వీక్షించడానికి, కస్టమర్ ఖాతాలను తొలగించడానికి, ఖాతా టేకోవర్ (ATO) చేయడానికి లేదా మొత్తం అనువర్తనాలు అందుబాటులో లేని సేవా పరిస్థితిని తిరస్కరించడానికి దాడి చేసేవారిని అనుమతించే బహుళ API దుర్బలతలను ఈ బృందం కనుగొంది.
API లు సాఫ్ట్వేర్ కోడ్లు, ఇవి కంప్యూటర్ అనువర్తనాలను డేటాను యాక్సెస్ చేయడానికి మరియు బాహ్య సాఫ్ట్వేర్ భాగాలు, ఆపరేటింగ్ సిస్టమ్లు లేదా మైక్రోసర్వీస్లతో సంభాషించడానికి అనుమతిస్తాయి. ఈ ప్రక్రియ వినియోగదారు ప్రతిస్పందనలను వ్యవస్థకు అందిస్తుంది మరియు సిస్టమ్ యొక్క ప్రతిస్పందనను వినియోగదారుకు తిరిగి పంపుతుంది.
"API ల పెరుగుదల మరియు నేటి అనువర్తన పరిసరాలలో వారు పోషిస్తున్న ప్రధాన పాత్రతో, నిష్పాక్షికమైన, సంబంధిత మరియు నమ్మదగిన పరిశోధనల అవసరం మా బృందం సంవత్సరాలుగా నిర్వహిస్తున్న సంచలనాత్మక API భద్రతా పరిశోధనలను పంచుకోవడానికి మాకు ప్రేరేపించింది" అని రోయి ఎలియాహు చెప్పారు , సాల్ట్ సెక్యూరిటీ సహ వ్యవస్థాపకుడు మరియు CEO. పాయింట్ ఇన్ కేస్
సాల్ట్ సెక్యూరిటీ స్టేట్ ఆఫ్ ఎపిఐ సెక్యూరిటీ రిపోర్ట్ ప్రకారం, ఎపిఐ భద్రతా సమస్యల కారణంగా 66 శాతం సంస్థలు కొత్త అప్లికేషన్ యొక్క విస్తరణను ఆలస్యం చేశాయి. ఈ సమస్యలను ఎదుర్కోవటానికి, సాల్ట్ ల్యాబ్స్ పరిశోధన మరియు నివేదికలు సంస్థలకు వారి API భద్రతా భంగిమను మెరుగుపరచడానికి మరియు API- సెంట్రిక్ వ్యాపారాలను ప్రభావితం చేసే బెదిరింపులను తగ్గించడానికి అనుమతిస్తుంది.
API బెదిరింపులు, భద్రతా అంతరాలు మరియు తప్పు కాన్ఫిగరేషన్ల గురించి లోతైన సాంకేతిక అవగాహనను ఉపయోగించి, సాల్ట్ ల్యాబ్స్ మూడు లక్ష్యాలపై దృష్టి పెడుతుంది. ఇది అధిక-ప్రభావ ముప్పు పరిశోధనలను అందించడం, తాజా API దాడి వెక్టర్లను వెలికి తీయడం మరియు API భద్రతా ప్రోగ్రామ్లను మరింత చురుకైన మరియు చర్య తీసుకునేలా చేయడానికి ఉత్తమ పద్ధతులను అందించడం.
సాల్ట్ ల్యాబ్స్ పరిశోధకులు వేలాది భాగస్వామి బ్యాంకులు మరియు ఆర్థిక సలహాదారులకు API సేవలను అందించే పెద్ద ఆర్థిక సంస్థ యొక్క ఆన్లైన్ ప్లాట్ఫారమ్ను పరిశోధించారు. బహుళ API దుర్బలత్వాల ఫలితంగా, దాడి చేసేవారు దాడులను ప్రారంభించగలరని పరిశోధకులు కనుగొన్నారు:
ఏ వినియోగదారు అయినా ఏదైనా కస్టమర్ యొక్క ఆర్థిక రికార్డులను చదవగలరు.
ఏ వినియోగదారు అయినా సిస్టమ్లోని ఏదైనా కస్టమర్ ఖాతాలను తొలగించగలరు.
ఏ యూజర్ అయినా ఏ ఖాతాను అయినా స్వాధీనం చేసుకోవచ్చు.
ఏ యూజర్ అయినా సేవ యొక్క తిరస్కరణను సృష్టించవచ్చు, అది మొత్తం అనువర్తనాలను అందుబాటులో ఉంచదు.
సాల్ట్ యొక్క పరిశోధకులు ఈ అధిక-తీవ్రత API భద్రతా లోపాలను ఆర్థిక సేవల వేదికలో ఉపయోగించుకున్నారు:
బ్రోకెన్ ఆబ్జెక్ట్ లెవల్ ఆథరైజేషన్ (బోలా)
బ్రోకెన్ ఫంక్షన్ లెవల్ ఆథరైజేషన్ (BFLA)
పారామితి ట్యాంపరింగ్కు అవకాశం
సరికాని ఇన్పుట్ ధ్రువీకరణ
రిపోర్టింగ్ స్ట్రాటజీస్
ఏదైనా అదనపు ప్రమాదానికి ఆర్థిక సంస్థను బహిర్గతం చేయకుండా పరిశోధకులు సంస్థను గుర్తించగల దుర్బలత్వం యొక్క ఏదైనా సాంకేతిక వివరాలను అనామకపరిచారు. సాల్ట్ ల్యాబ్ అధికారులు ఈ ఫలితాలను సంస్థతో సమీక్షించారు మరియు ప్రతి దాడి కోసం సంబంధిత దాడి విధానాలు, సాంకేతిక వివరాలు మరియు ఉపశమన పద్ధతులను వివరించడం ద్వారా API భద్రత గురించి అవగాహన మెరుగుపరచడానికి సమాచారాన్ని బహిరంగంగా పంచుకున్నారు.
సాల్ట్ సెక్యూరిటీ వద్ద సాంకేతిక సువార్తికుడు మైఖేల్ ఇస్బిట్స్కి ప్రకారం, API లు పూర్తిగా ఇంటిగ్రేటెడ్ అప్లికేషన్, సిస్టమ్ మరియు ఆర్కిటెక్చర్లో నడుస్తున్నందున చాలా API సమస్యలు తమను తాము ప్రదర్శిస్తాయి. కోడ్ విశ్లేషణ మాత్రమే మిమ్మల్ని కవర్ చేయదు మరియు మూడవ పార్టీ యాజమాన్యంలోని కోడ్ లేదా బాహ్య సేవా సమైక్యత విషయంలో కూడా ఇది సాధ్యం కాదు.
"యంత్రాల సహాయం లేకుండా API లను రన్టైమ్లో పూర్తిగా పరీక్షించడం సంక్లిష్టమైన మరియు సమయం తీసుకునే ప్రయత్నం. అవసరమైన అన్ని సాధనాలను అమలు చేయడానికి మరియు API సమస్యలు అనేక దాటినందున వెలికి తీస్తున్న వాటి ఫలితాలను అర్థం చేసుకోవడానికి సంబంధిత విషయ నైపుణ్యాన్ని కనుగొనడం కష్టం. టెక్నాలజీ మరియు సెక్యూరిటీ డొమైన్లు "అని టెక్న్యూస్వరల్డ్తో అన్నారు.
దాచిన సైబర్ సెక్యూరిటీ ఆందోళన
సైబర్ సెక్యూరిటీ యొక్క ఒక అంశంగా API లను ఎల్లప్పుడూ పేరుతో పిలవరు. కానీ API లు చాలా ఆధునిక సిస్టమ్ డిజైన్లు మరియు సాఫ్ట్వేర్ సరఫరా గొలుసులను బలపరుస్తాయి.
"పరిశ్రమలో మనం చూస్తున్న అనేక సంఘటనలు, సరఫరా గొలుసు దాడులతో సహా, API లు ఉన్నందున
అసురక్షిత లేదా API లు దాడి గొలుసు యొక్క క్లిష్టమైన దశగా ఉపయోగించబడ్డాయి, "అని ఇస్బిట్స్కి చెప్పారు.
వాస్తవికంగా, API భద్రతా ప్రమాదాల గురించి ఆందోళన చెందుతున్న సంస్థలు ప్లాట్ఫారమ్లుగా రూపొందించబడిన ప్రయోజన-నిర్మిత API భద్రతా సమర్పణల కోసం వెతకాలి. ఇటువంటి పరిష్కారాలు జీవితచక్రం అంతటా API లను సురక్షితంగా ఉంచడానికి అనేక రకాల సామర్థ్యాలను అందిస్తాయి.
విభిన్న పథాలు
API విస్తరణ మరియు API భద్రత, దురదృష్టవశాత్తు, భిన్నమైన పథాలలో ఉన్నాయి, NTT అప్లికేషన్ సెక్యూరిటీ వద్ద వ్యూహ ఉపాధ్యక్షుడు సేతు కులకర్ణి తెలిపారు. API లు ఈ API ల యొక్క భద్రతా పరీక్ష కంటే వేగంగా ఘాతాంకాన్ని పెంచుతున్నాయి. ఇంతలో, API లను సృష్టించడం మరియు అమలు చేయడం గతంలో కంటే సులభం.
"మెటాడేటా మరియు లైవ్ ట్రాఫిక్ విశ్లేషణలను పరిశీలించడం API లను డెవలపర్ ఫీడ్బ్యాక్ ఆధారంగా నమోదు చేయటం కంటే వాటిని కనుగొనటానికి మంచి మార్గంగా మారుతోంది" అని టెక్ న్యూస్ వరల్డ్తో అన్నారు.
API భద్రతా పరీక్ష API ఫంక్షనల్ పరీక్ష యొక్క నమూనాను అనుసరిస్తోంది. అంటే, ఆ కాల్ సీక్వెన్స్లలో భద్రతా పరీక్షలు నిర్వహించబడుతున్నాయని నిర్ధారించడానికి API కాల్ సీక్వెన్స్ను ఆర్కెస్ట్రేట్ చేయడానికి ఫంక్షనల్ టెస్టింగ్ టూల్స్ అందించిన బేస్ ఫ్రేమ్వర్క్ను ఉపయోగించడం, కులకర్ణి వివరించారు.
"డైనమిక్ టెస్టింగ్ భద్రత కోసం API లను పరిశీలించే అత్యంత ఖచ్చితంగా షాట్ మార్గంగా మారుతోంది. డైనమిక్ టెస్టింగ్ డెవలపర్ వాడకానికి అనుగుణంగా ఉంది" అని ఆయన చెప్పారు.
సాధారణ వ్యాపార నమూనాలు
API లు వేగంగా B2B మరియు B2C వ్యాపార నమూనాలకు సాంకేతిక ప్రాతిపదికగా మారుతున్నాయి. అందుకని, API లు అభివృద్ధి చేయబడినప్పుడు మరియు అమలు చేయబడినప్పుడు, కులకర్ణి ప్రకారం, API లు ఉపయోగించబడే అన్ని ప్రదేశాలను అంచనా వేయడానికి నిజంగా మార్గం లేదు.
"API లు నిశ్శబ్దంగా కానీ వేగంగా సాఫ్ట్వేర్ సరఫరా గొలుసు యొక్క అత్యంత క్లిష్టమైన భాగాలలో ఒకటిగా మారాయి. సంస్థలు ఇప్పుడు ఒక పెద్ద API నుండి సంభావ్య పెద్ద ఉల్లంఘన నుండి దూరంగా ఉన్నాయి" అని ఆయన హెచ్చరించారు.
నేడు API లు ఆన్లైన్లో రూపొందించబడని లేదా ఇంటిగ్రేటెడ్ బి 2 బి లేదా బి 2 సి సెట్టింగ్లో ఉపయోగించని లెగసీ సిస్టమ్లకు ముఖభాగాలు కావడం కుల్కర్ణి గమనించిన వాస్తవం అస్పష్టంగా ఉంది.
"ఒక API పొరను సృష్టించడం ద్వారా, ఈ లెగసీ లావాదేవీ వ్యవస్థలు డిజిటల్ పరివర్తన కార్యక్రమాలలో పాల్గొనడానికి ప్రారంభించబడతాయి" అని ఆయన చెప్పారు.
లెగసీ సిస్టమ్స్ యొక్క API ఎనేబుల్మెంట్ యొక్క ఈ నమూనా భద్రతా సమస్యలను సృష్టిస్తుంది. లేకపోతే లెగసీ సిస్టమ్స్ పనిచేయడానికి రూపొందించబడిన నియంత్రిత విశ్వసనీయ మండలాల్లో అవి సమస్యలు ఉండవు.
API భద్రతను పరిష్కరించడం
API- ఫస్ట్ మరియు మైక్రోసర్వీస్-ఆధారిత అనువర్తనాల విషయానికి వస్తే, భద్రతపై తగిన శ్రద్ధ లేదు - ఇది తరచుగా డాక్యుమెంట్ చేయబడిన లేదా కొలిచిన అవసరం కాదు.
"అంతేకాక, భద్రత అవసరం అయినప్పటికీ, మంచి సురక్షిత API లు ఎలా ఉంటాయో అభివృద్ధి బృందాలకు తెలియదు" అని కులకర్ణి పేర్కొన్నారు.
ఈ సవాళ్లను అధిగమించడానికి అతను ఈ వ్యూహాలను అందించాడు:
మీరు భాగస్వామి లేదా మూడవ పార్టీ (అంతర్గత లేదా బాహ్య) నుండి ఉపయోగించాలనుకుంటున్న API లను భద్రపరచడానికి ఏ భద్రతా చర్యలు తీసుకున్నారో ఎల్లప్పుడూ అడగండి. మీరు అడిగితే, మీకు తెలుస్తుంది. లేకపోతే, మీరు ఇప్పుడే will హిస్తారు.
ఉత్పత్తిలో మీ API లను పరీక్షించండి - అవి లెగసీ సిస్టమ్స్ కోసం రేపర్- API లు లేదా కొత్త API- మొదటి అనువర్తనాలు. ఉత్పత్తిలో పరీక్షకు ప్రత్యామ్నాయం లేదు.
మీ ఉత్పత్తి నిర్వహణ బృందం భద్రతా సంబంధిత దుర్వినియోగ కేసులను అభివృద్ధి సమయంలో అవసరాలుగా నమోదు చేస్తుందని నిర్ధారించుకోండి. భద్రతను నిష్క్రమణ ప్రమాణంగా మార్చండి.
భద్రతా బృందం వారి అంగీకార ప్రమాణాలలో చెక్లిస్ట్ అంశంగా API భద్రతా చర్యల గురించి డెవలపర్ బృందాలను అడగాలని కులకర్ణి సూచించారు.
అలాగే, డెవలపర్లకు వాటిని సమర్థవంతంగా చేయడానికి మరియు అధిక భారం పడకుండా ఉండటానికి తగినంత శిక్షణ అందుబాటులో ఉందని నిర్ధారించడానికి ఫోకస్డ్ డెవలపర్ శిక్షణ అవసరం.
0 కామెంట్లు
Please Don't Spam Links