API-BIZTONSÁG

Kihívások

Növekvő API-adatforgalom

Növekvő API-adatforgalom

Az API-k (Application Programming Interface-ek) már nem csak Facebook üzeneteket közvetítenek: napjainkban több tízezer webes és felhőszolgáltatást, mobilt és IoT-eszközt kötnek össze, lehetővé téve a zökkenőmentes gép-gép kommunikációt. Hatalmas mennyiségű érzékeny információt továbbítanak ezeken az interfészeken, például személyes azonosítókat, üzleti titkokat, pénzügyi és orvosi adatokat.

Az API-k a támadók fókuszába kerültek

Az API-k a támadók fókuszába kerültek

Az API-kon keresztül továbbított érzékeny adatok mennyisége folyamatosan nő, és ez kiváló célponttá teszi őket: a támadók sebezhető, hibás API-kat keresnek, hogy ezen keresztül találjanak rést az adatokat tároló back-end rendszerekhez. Számos, mostanában történt biztonsági incidenshez az API feltörésén keresztül vezetett az út, ilyen volt a Salesforce.com, a US Post, a T-Mobile, és a Strava incidense is.

A hagyományos biztonsági megoldások nem elegendők

A hagyományos biztonsági megoldások nem elegendők

Napjaink API-támadásai egyre komplexebbek és célzottabbak, így könnyen megkerülik a hagyományos védelmi vonalakat. Adatbázis alapú webes alkalmazás tűzfalakkal (WAF), vagy más, alapszintű biztonsági eszközzel nem észlelhetők, csak célzott megoldásokkal előzhetők meg. A fenti tudás nélkül a vállalatok sebezhetővé teszik legfontosabb rendszereiket, miközben hamis biztonságérzetük alakul ki.

Az API-fejlesztők nem mindig biztonságtudatosak

Az API-fejlesztők nem mindig biztonságtudatosak

A biztonság nem prioritás a legtöbb fejlesztési projektben: a fejlesztők a funkciókra, a felhasználói élményre és a határidőkre koncentrálnak elsősorban, a biztonsági követelmények gyakran nincsenek is részletesen specifikálva. Mivel API-sztenderdek nincsenek, ezért a fejlesztők a biztonsággal sokszor csak 'best-effort' jelleggel foglalkoznak. Ez különlegesen sebezhetővé teszi a publikus API-kat, amely az üzlet számára kockázatokat, míg a támadók számára további lehetőségeket teremt.

A szabályozók biztonságos API-kommunikációt követelnek meg

A szabályozók biztonságos API-kommunikációt követelnek meg

Miközben a PSD2 előírja a bankoknak, hogy közvetlenül megnyissák API-jaikat az online kereskedőknek és külső fizetési szolgáltatóknak (fintech cégeknek), addig a GDPR a továbbított személyes adatok anonimizálását vagy pszeudo-anonimizálását, a PCI DSS pedig a kártyatulajdonosok adatainak nyilvános hálózatokon történő titkosítását követeli meg.

Megoldások

Célmegoldás az API-fenyegetések ellen

Célmegoldás az API-fenyegetések ellen

A Balasys megoldása rendkívül rugalmas megközelítést biztosít az API-fenyegetések ellen azon biztonságtudatos szolgáltatóknak és alkalmazásfejlesztőknek, akik érzékeny adatokat kezelnek API-kon keresztül. Szemben az API-menedzsment szállítókkal, ahol a biztonság mindössze egy pipa a sok közül, a mi megoldásunk kizárólag az API-biztonságra fókuszál, az API-forgalomvalidálásának, szabályozásának és elemzésének ütőképes kombinációját kínálva. Rugalmas architektúrájának köszönhetően szervezete kompromisszumok nélkül vezethet be egyéni API-biztonsági házirendeket.

Balasys szolgáltatások

Balasys szolgáltatások

A Balasys tanácsadási szolgáltatása segít Önnek feltérképezni API-biztonsági hiányosságait, és összeállítani a megfelelő megoldást. Bevezetési szolgáltatásunkat teljes mértékben az Ön igényeihez tudjuk igazítani, tréningjeink segítségével pedig tovább növelheti IT-csapata hatékonyságát. Ha további támogatásra van szüksége, az üzemeltetés kapcsán is fordulhat hozzánk.

A Balasys megoldásának főbb előnyei

Kizárólag az API-biztonsági problémákra fokuszál

Példátlan konfigurációs lehetőségek

Magyar fejlesztés - "tiszta" kódbázis

Kedvező ár-érték arány

Személyre szabott tanácsadás

Gyors, rugalmas bevezetés

Magyar és angol nyelvű műszaki támogatás

Oktatás