Connect with us

Technologie

Réduire la cyber-pile grâce à la sécurité des API

Published

on


Dans une économie en mutation, il peut être difficile de déterminer la meilleure façon d’investir, c’est pourquoi le dernier rapport de Forrester Guide de planification 2023 : Sécurité et risques est considéré comme fournissant une orientation indispensable. Il suggère que les RSSI devraient donner la priorité en se concentrant sur les technologies qui améliorent l’expérience client ou augmentent les revenus, mais en même temps, ils devraient également chercher à réduire le gaspillage – et cela signifie réévaluer la pile de cybersécurité.

Pour de nombreuses entreprises, il n’est pas rare d’avoir une pile de 20 à 70 produits. Comprenant les meilleures solutions ponctuelles obtenues auprès de plusieurs fournisseurs, celles-ci ont des capacités d’intégration limitées et prennent beaucoup de temps à gérer. La pile aura connu une croissance organique, avec des systèmes ajoutés en réaction aux événements plutôt que de manière proactive et méthodologique, ce qui conduit inévitablement à des fonctionnalités qui se chevauchent et même à des ensembles de fonctionnalités inutilisés.

Un excellent exemple de ceci est la sécurité des applications. Au fur et à mesure que les entreprises ont commencé à déployer des applications mobiles, des conteneurs, de l’informatique sans serveur et des microservices, leur dépendance aux interfaces de programmation d’applications (API) a augmenté. Mais en l’absence d’une solution API dédiée, beaucoup ont trouvé logique de réutiliser les outils de sécurité existants, tels que les pare-feu d’application Web (WAF), les pare-feu de nouvelle génération (NGFW) ou les systèmes de prévention des intrusions (IPS). Certains seront allés plus loin et les auront complétés par des passerelles API pour aider à gérer la complexité.

Bien que ces outils puissent réussir à prévenir certains types d’attaques de base, ils n’ont pas la visibilité nécessaire pour suivre les API utilisées dans l’ensemble d’un environnement, évaluer si les API sont correctement configurées et détecter les activités anormales furtives. Ces systèmes ont du mal parce qu’ils recherchent des menaces basées sur les signatures, peuvent laisser des lacunes exploitables car ils n’utilisent pas l’analyse d’exécution pour vérifier les erreurs de configuration et peuvent même agir comme un point de défaillance unique.

Un récent rapport ESG a révélé que 38% des personnes interrogées ont dû recourir à l’achat de plus d’outils parce que ceux qu’ils avaient n’étaient pas à la hauteur et ne fonctionnaient pas comme prévu, ce qui ajoutait à l’étalement technologique. Il a également révélé que beaucoup n’étaient pas conscients de la performance de leurs outils, révélant le manque de perspicacité qu’ils avaient sur la sécurité de leur API.

Il est intéressant de noter que la sécurité des API est l’une des principales technologies préconisées dans le rapport Forrester, car il s’agit d’une technologie plus facile à déployer pour fournir un accès à d’autres applications, mais qui est également très vulnérable aux attaques. Alors, où cela laisse-t-il les entreprises qui ont bricolé une forme de défense API? La conclusion évidente est que tout investissement dans la sécurité des API présente également une occasion en or de rationaliser la pile et d’évaluer et de remplacer ces solutions de fortune.

Des défis uniques

La sécurisation des API présente des défis uniques. Ces mécanismes sont généralement exploités par l’attaquant qui sonde et utilise les propres caractéristiques de l’API contre elle, de sorte que toute défense doit se concentrer sur l’analyse du comportement et rechercher une activité anormale. Cela ne peut être réalisé qu’en surveillant à l’aide d’empreintes digitales comportementales prédéfinies et en appliquant des règles, en utilisant l’apprentissage automatique et les renseignements sur les menaces.

Prenons, par exemple, l’attaque contre MailChimp en avril. Cela a vu les pirates obtenir des clés API qui ont permis à ses clients de gérer eux-mêmes leurs comptes et d’effectuer des campagnes marketing de manière autonome. Armés de ceux-ci, les attaquants ont pu envoyer des e-mails de phishing aux clients de Trezor, un client de crypto-monnaie de Mailchimp.

Ses clients ont été informés que leur portefeuille avait été compromis et ont été invités à télécharger une fausse application et à configurer un nouveau code PIN. La compromission de ces clés API aurait pu être détectée à l’aide de la surveillance comportementale, mais aurait été manquée par une solution basée sur les signatures.

En outre, la prolifération des API, qui dépassent rapidement les applications Web en tant que mécanisme de connectivité de choix, suggère qu’une approche encore plus globale est nécessaire. De manière réaliste, les entreprises ont déployé des centaines d’API, dont certaines auront été développées et oubliées et présenteront un risque de sécurité continu. D’autres API seront ensuite développées et ajoutées, et si la sécurité ne fait pas partie du processus de production, cela peut encore augmenter les risques.

Tous ceux qui sont ensuite déployés doivent rester visibles, afin qu’ils puissent être mis à jour ou reconfigurés correctement et surveillés en permanence.

Du berceau à la tombe

Cela signifie que la sécurité des API ne concerne plus simplement la protection de l’API, mais l’ensemble du cycle de vie de la découverte, de la détection et de la défense, de la réalisation d’un audit d’API à la création d’un inventaire d’exécution, en passant par la garantie que les API restent conformes. avec des spécifications et conformément aux réglementations spécifiques à l’industrie; non seulement en détectant les menaces, mais en les empêchant grâce à une analyse active de l’infrastructure API et en détectant et en résolvant les problèmes avant le déploiement lorsque les API sont en pré-production.

L’adoption d’une approche unifiée qui couvre tous ces angles évite d’avoir à utiliser le WAF, le NGFW, l’IPS pour la protection des API ou même une passerelle API, ce qui signifie que le RSSI peut réduire la charge sur certains de ces outils et en désactiver d’autres, réduisant ainsi la pile. Il garantit également un délai de rentabilisation rapide en réduisant les exploits d’API, en éliminant les violations de conformité et en protégeant les utilisateurs finaux contre les attaques.

Il est probable que les budgets de sécurité seront comprimés à mesure que les entreprises lutteront contre l’inflation et la hausse des coûts, en mettant l’accent sur le maintien des lumières allumées. Forrester préconise que l’argent soit dépensé là où il est important, mais aussi que les entreprises réduisent les coûts et la complexité. Il n’y a maintenant aucune raison pour que les RSSI ne puissent pas faire les deux, s’ils sont assez avertis pour capitaliser sur les progrès récents réalisés dans l’industrie des API.

Jason Kent est hacker en résidence à Sécurité De cequence.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance