Исследование Raidiam выявляет риски безопасности API

Недавний отчет от Raidiam, мирового лидера в управлении безопасным доступом к API, выявил скрытый кризис безопасности API: 84% компаний, работающих вне регулируемых сред, имеют защиту API, которая значительно уступает необходимой для защиты данных, которые они раскрывают.

Отчет, "Помощь предприятиям в осознании и устранении критических рисков", основан на профилировании безопасности 68 организаций, включая финтех, платежные системы, SaaS и корпоративные платформы. Исследования показывают, что хотя 85% из этих организаций обрабатывают чувствительные или ценные личные и финансовые данные, большинство из них все еще полагаются на устаревшие или слабые механизмы, такие как статические ключи API и базовые секреты OAuth, без дополнительных мер защиты.

"Все мы читали недавние новости; безопасность API не должна быть второстепенной задачей. Разрыв между чувствительностью данных и силой контроля – это риск на уровне совета директоров, а не просто техническая проблема", – заявил Дэвид Оппенхайм, руководитель стратегии предприятия в Raidiam.

Ключевые выводы отчета:

• 84% организаций были отнесены к категории "Действовать срочно", подвергая опасности чувствительные API с недостаточными мерами безопасности
• 85% обрабатывают платежные данные или данные особой категории, но лишь одна организация соответствует современным стандартам криптографической защиты API
• 57 из 68 организаций используют только ключи API или базовые учетные данные OAuth, несмотря на известные уязвимости
• Менее половины регулярно проводят тесты на проникновение, специфичные для API, или мониторинг аномалий в реальном времени, оставляя уязвимости для атак
• Реальные утечки, такие как взлом API партнера Dell в 2023 году, доказывают, что злоумышленники уже используют эти слабые места

Отчет также вводит Матрицу безопасности и чувствительности, сопоставляя уровни защиты API с чувствительностью данных, которые они раскрывают. Результат? Явный перекос в сторону серьезного несоответствия.

"Мы обнаружили, что даже компании, работающие с платежными и личными данными, все еще полагаются на статические ключи API и базовые секреты. В сегодняшней угрозной среде это цифровой эквивалент оставления двери в сейфе открытой", – добавил Оппенхайм.

"В регулируемых средах, таких как Open Banking, более строгие меры, такие как взаимное TLS и токены, привязанные к сертификатам, уже являются стандартом. Вне этих рамок остается огромная брешь."

Отчет выходит на фоне возросших опасений в отрасли по поводу риска API. В начале 2025 года, главный директор по информационной безопасности JPMorgan Chase выпустил открытое письмо, предупреждающее о растущих уязвимостях, связанных с API, в платформах третьих сторон, призывая к приоритету безопасности над скоростью в их дорожных картах развития.

Согласно данным от Gartner, утечки через API в 10 раз более масштабны, чем традиционные атаки. "Это не теоретическая угроза, злоумышленники уже здесь", – предупреждает отчет.

Что должны сделать предприятия сейчас

Отчет предлагает четырехшаговую дорожную карту для улучшения:

• Поднять безопасность API до уровня приоритета совета директоров
• Модернизировать меры контроля, используя криптографические техники, такие как mTLS и токены с ограничениями отправителя
• Инвестировать в повышение осведомленности разработчиков и тестирование безопасности
• Привлечь надежных партнеров для ускоренной адаптации проверенных стандартов и инфраструктуры

Платформа и экспертиза Raidiam в области цифрового доверия, уже обеспечивающие безопасные экосистемы обмена данными по всему миру, теперь помогают корпоративным организациям сокращать разрыв.