Проблеми безпеки API у фокусі уваги з проникненням агентів у корпоративне середовище
Безпека API: виклики в епоху збільшення агентної автоматизації
Сучасні технологічні компанії, що активно впроваджують API, стикаються з серйозними викликами в сфері безпеки. За даними Akamai, середня вартість інцидентів, пов’язаних з безпекою API, становить $700 тисяч на рік. Це питання стало одним з трьох основних занепокоєнь 1840 лідерів у сфері безпеки, опитаних у 10 країнах. З огляду на активне використання агентної автоматизації, багато організацій зазнають труднощів, спостерігаючи потенційні недоліки в своїх API.
Як зазначає Barney Beal в блозі Akamai, це не просто технічна помилка, а системна проблема управління. Незважаючи на бажання корпорацій скористатися перевагами нових AI-технологій, вони часто створюють широкі, не відображені в хакатліці поверхні для атак. Багато організацій не мають чіткої видимості всіх елементів API в своїх програмних продуктах. Це створює лазівки, через які можуть проникнути так звані зомбі, шкідливі або тіньові API.
Впровадження агентних автоматизаційних систем виявило нові проблеми для команд розробників. Незважаючи на зусилля, подолати розрив між розробкою програмного забезпечення і кібербезпекою стає важко. Розраховувати на те, що розробники одночасно стануть і експертами з кібербезпеки, як і сподіватися на бездоганне розуміння кожного рядка коду експертами з безпеки, є утопією. Отже, для забезпечення базового рівня безпеки використовується WAF.
Серед опитаних, лише 23% організацій мають API, які можуть повернути конфіденційну інформацію. Однак, близько 5900 нових викликів API у середньому для підприємств, викликаних агентними AI-впровадженнями, демонструють потенційні ризики. Нові точки контакту API створюються швидко і без належного нагляду, що підвищує загрозу витоку інформації.
Безпека API має стати частиною CI/CD-процесів. Akamai пропонує інструменти для автоматизованого тестування, що допомагають уникнути типових проблем, як, наприклад, порушення авторизації об’єктів. Це знижує ризик незалежної роботи агентного AI з API без належного контролю з боку служб безпеки.
Для того щоб побачити початок проблеми, Beal зауважує: “Коли потреба у швидкості впровадження AI перевершує безпеку, команди DevSecOps першими помічають слабкі місця.” Цей заклик стосується тестування API не лише з функціональної точки зору, але й у контексті безпеки. Автоматизоване тестування вбудоване в CI/CD-процеси – частина рішення.
Beal наголошує, що проблема безпеки API є системною. Можливо, корінь проблеми полягає не в діях DevOps або DevSecOps, а в недостатньому розумінні цифрових систем компанії під час впровадження агентних рішень. Маркетингові обіцянки швидких результатів від агентних AI часто не враховують необхідність безпечного і надійного виконання, що може займати більше часу, ніж планується.
