شناسایی فعالیت مهاجم در خدمات مالی در استارت‌آپ اسرائیلی

به گزارش کارگروه بین‌الملل سایبربان؛ «Salt Security»، شرکت امنیت رابط برنامه‌نویسی کاربردی (API)، یافته‌هایی را از اولین گزارش صنعت متمرکز خود در مورد امنیت API، وضعیت امنیت رابط برنامه‌نویسی کاربردی برای خدمات مالی و بیمه در سال 2023 منتشر کرد.

این گزارش داده‌های تجربی مشتریان Salt و یافته‌های 2 نظرسنجی جداگانه را ترکیب می‌کند تا تحلیلی عمیق از تأثیر تهدیدات و آسیب‌پذیری‌های امنیتی API بر این صنایع ارائه دهد.

نتایج نشان داد مهاجمان رابط برنامه‌نویسی کاربردی که خدمات مالی و APIهای بیمه را هدف قرار می‌دهند، با افزایش 244 درصدی مهاجمان منحصر به فرد بین نیمه اول و دوم سال گذشته، به طور فزاینده‌ای فعال شده‌اند.

علاوه بر این، 92 درصد از پاسخ‌دهندگان مالی/بیمه‌ای عنوان کردند که در طول سال گذشته یک مشکل امنیتی قابل توجه در APIهای تولیدی را تجربه کرده‌اند و تقریباً از هر 5 نفر، یک نفر دچار نقض امنیت رابط برنامه‌نویسی کاربردی شده است.

یافته‌های برتر عبارتند از :

• 69 درصد از پاسخ دهندگان خدمات مالی/بیمه اظهار داشتند که به دلیل مشکلات امنیتی رابط برنامه‌نویسی کاربردی با تأخیر در عرضه مواجه شده‌اند که 11 درصد بیشتر از میانگین پاسخ کلی است.
• 17 درصد از پاسخ دهندگان یک نقض امنیتی مرتبط با API را تجربه کرده‌اند.
• 84 درصد از حملات علیه بخش‌های خدمات مالی/بیمه از سوی کاربران «تأیید شده» صورت می‌گیرد که قانونی به نظر می‌رسند اما در واقع مهاجم بودند.
• 71 درصد از پاسخ دهندگان مالی/بیمه ای گفتند که ابزارهای موجود آنها در جلوگیری از حملات رابط برنامه‌نویسی کاربردی چندان مؤثر نیستند.
• بیش از 25 درصد از پاسخ دهندگان نیز اعلام کردند که هیچ استراتژی API فعلی ندارند.

روی الیاهو (Roey Eliyahu)، مدیر عامل و یکی از بنیانگذاران Salt Security، گفت :

«APIها برای خدمات دیجیتالی نوآورانه‌ای هستند که امروزه به‌وسیله سازمان‌های مالی و بیمه ارائه می‌شود. با این حال، از آنجایی که این APIها اطلاعات حساس مشتری و مالی را منتقل می‌کنند، مجرمان سایبری همچنین می‌دانند که انبوهی از داده‌ها را به اشتراک می‌گذارند که می‌تواند برای سرقت یا کلاهبرداری مورد استفاده قرار گیرد. یافته‌ها نشان می‌دهد که این شرکت‌ها از افزایش قابل توجه مهاجمان و سایر مسائل امنیتی رنج می‌برند و آسیب‌پذیری آن‌ها را در برابر حوادث مرتبط با API افزایش می‌دهد.»

سایر یافته های قابل توجه از وضعیت امنیت API برای خدمات مالی و بیمه عبارتند از :

• 9 درصد از حملات API علیه مؤسسات مالی/بیمه، APIهای داخلی را هدف قرار داده‌اند که نشان دهنده افزایش 613 درصدی بین نیمه اول و دوم سال گذشته است.
• 61 درصد از پاسخ دهندگان مالی/بیمه ای بیش از 100 رابط برنامه‌نویسی کاربردی و 36 درصد بیش از 500 رابط برنامه‌نویسی کاربردی را مدیریت می‌کنند.
• 27 درصد معتقدند که در طول سال گذشته بیش از 2 برابر رابط‌های برنامه‌نویسی کاربردی خود را افزایش داده‌اند.
• پاسخ دهندگان بیشترین ارزش را برای توانایی توقف حملات (49 درصد) در یک پلتفرم امنیتی رابط برنامه‌نویسی کاربردی دارند و به دنبال آن 48 درصد الزامات انطباق/قانونی را رعایت می‌کنند.
• در حالیکه 36 درصد از پاسخ دهندگان رابط‌های برنامه‌نویسی کاربردی خود را حداقل به صورت هفتگی به روز می‌کنند، تنها 10 درصد اسناد را با همان سرعت به‌روزرسانی می‌کنند.