צרו קשר תנו פידבק
מאמרים

קוד פתוח ואבטחת ממשקי תוכנה API: סיסקו משנה את תפיסת האבטחה לממשקים פתוחים

על מתודולוגיות אבטחה לממשקי API

27.12.2021
3 min
חיים פינטו, CTO סיסקו ישראל
קוד פתוח ואבטחת ממשקי תוכנה API: סיסקו משנה את תפיסת האבטחה לממשקים פתוחים

במהלך הטרנספורמציה הארגונית, עלה הצורך בבניה של מתודת אבטחה לממשקי תוכנה חיצוניים ופנימיים. למרות שהצורך הזה אינו חדש, בחינה של נתוני השוק מראה כי מדובר בתחום נקודתי שמושך אליו תשומת לב רבה מאוד של תוקפים פוטנציאליים ומהווה את אחד מוקדי התקיפה המשמעותיים לארגונים.

בין השנים 2015 ל 2021 ראינו עליה של 540% במספר חולשות האבטחה בממשקי תוכנה , זאת מול עליה של 280% בעליה של חולשות אבטחה כלליות[1]. העליה הדרמטית במקרי התקיפה ותיעוד החולשות מחזקת את הצורך של ארגונים לעדכן את תפיסת הסייבר הפנים-ארגונית שלהם כדי להתאים לעולם החדש. עולם זה מתאפיין בפירוק מונוליטים אפליקטיבים, יציאה לענן והסתמכות על ממשקי תוכנה  (API) בכדי לבנות שירותים חדשים.

בתיעוד האחרון של כ 631 תקיפות מבוססות API  מבחינים כי הגישה לשירותים לא מאומתים היתה אחד מנתיבי התקיפה המרכזיים של תוקפים זדוניים, אשר ניצלו את הממשיקים לגישה לא מורשית ומשיכת מידע דרך ממשקיREST שלא אובטחו כראוי.

בנוסף ארגונים רבים זנחו את הממשקים הישנים שלהם מבלי לנתק אותם מהסביבה הארגונית. למרות שהממשקים ירדו ממחזורי התחזוקה והעידכון של הארגון, בכך שירותים אלה נשארו זמינים וחשופים, תוקפים ידעו לנצל את הפרצות הקיימות בהם.

האימוץ המהיר של מודל הענן המבוזר ושל אפליקציות מודרניות שמיוזמות באמצעות מיקרו שירותים לרוב על בסיס של קונטיינרים של קוברנטיס , הם הכח המאיץ מאחורי הצורך לבנות מתודולוגית אבטחה לממשקי API .

באופן די ברור אנחנו רואים ששירותי API  נמצאים גם במרכז מיפוי של חולשות ידועות ( CVE ) [2]

אפליקציות מודרניות ובמיוחד אפליקציות שנבנות לסביבת ענן ( Cloud native applications ) נסמכות באופן משמעותי על ארכיטקטורה מבוזרת שכוללת מיקרו שירותים רבים שנסמכים על תקשורת בכדי להחליף מסרים ונתונים.לעיתים מדובר במיקרו שירותים שנארזים ביותר מקלאסטר אחד , שמתארח בדאטה סנטר מקומי או בסביבת הענן. כל עוד הממשקים שמשרתים את אותם שירותים מפרסמים את המאפיינים שלהם ואת דרישות האבטחה למקום מרכזי אחד בארגון, ניתן לבנות וליישם תפיסת אבטחה מערכתית שתגן על הממשקים מגורמים זדוניים ללא תלות במקום שבו השירותים רצים, בין אם בענן ציבורי ובין אם בסביבה הארגונית המקומית. ניהול השינוי הופך להות מאתגר במיוחד אם מתחשבים בעובדה שממשקי ה API  של ספקיות הענן העיקריות עוברים כ 250 שינויים בכל חודש.

ריכוז המאמץ לבניה של מערך ארגוני לניהול סביבת הפיתוח וממשקי התוכנה:

לאור המורכבות הרבה של אפליקציות ענניות, והדינמיות של השינויים בפיתוח האג׳ילי ובסביבת ה CI/CD שמאפשרת עידכונים מתמשכים, לאפלקציה אין ממש יכולת לבנות מערך משילות ידני עם נהלים סטאטיים. הסביבה דורשת בניה של מערך אוטומטי ודינאמי של משילות תיעוד ובחינה של סביבת הממשקים התוכנתיים. הפיתרון הנדרש הוא למפות את מערך הממשקים הארגוני הפנימי והחיצוני , בין אם כמשתמש ובין אם כספק , כך שממשקים ״רדומים״, כאלה שהארגון זנח אבל עדיין לא ניתק מהרשת, יחשפו גם כן וימופו לצרכי תפעול אכיפה וניהול של דרישות האבטחה וההגנה הארגוניות.

סיסקו השיקה לאחרונה שירות שעונה בדיוק על צרכים אלה, כפיתרון קוד פתוח, הפיתרון מושתת על פיתוח ישראלי ייחודי שנבנה במסגרת הסטרטאפ פורטשיפט שנקנה לפני כשנה על ידי סיסקו. המפתחים הישראלים שעומדים מאחורי הטכנולוגיה הטמיעו את הפיתרון במסגרת מארג פיתרונות הסייבר של סיסקו והיום טכנולגיה זו זמינה לכל לקוחות סיסקו ברחבי העולם.

המורכבות של עולמות הממשקים מקשה על הטמעת משילות אבטחתית לרוחב ממשקי התוכנה, ולכן נדרשת היכולת להפיק את המידע בצורה אוטומטית שמוטמעת כחלק מהליך שיחרור הקוד והטמעתו.

APIClarity מאפשר לארגונים לזהות ממשקי תוכנה שמתחבאים בתשתית הארגונית על ידי חשיפה של שימוש בממשקים לא רשומים, הוא בנוי על בסיס OpenAPI 3.1  כדי לאפשר את השילוב שלו בפלטפורמות ניהול הענן השונות התומכות בתקינה זו.

סיסקו פיתחה פלטפורמה אחודה שכוללת סל פתרונות וכלים שמאפשרים לארגונים לעבור לסביבת ענן בצורה בטוחה ומאובטחת

[1] https://cve/mitre.org

[2] CVE – Common Vulnerabilities and Exposures



תתחילו להגדיל את העסק שלכם יחד איתנו
מוזמנים לפנות אלינו בכל שאלה, בקשה ועניין, אנו נחזור אליכם בהקדם