Раскрытие невидимой угрозы: защитите свои API, прежде чем это сделают злоумышленники. скачать в хорошем качестве

Раскрытие невидимой угрозы: защитите свои API, прежде чем это сделают злоумышленники.

Серия подкастов: Стратег по безопасности Гость: Чип Витт, ведущий аналитик по безопасности в Radware Ведущий: Ричард Стиннон, главный аналитик-исследователь в IT-Harvest Когда злоумышленники атакуют современные предприятия, они не взламывают систему; они входят в нее. Эта мысль прозвучала в недавнем эпизоде ​​подкаста «Стратег по безопасности», где ведущий Ричард Стиннон, аналитик по кибербезопасности и главный аналитик-исследователь в IT-Harvest, беседует с Чипом Виттом, ведущим аналитиком по безопасности в Radware. Разговор освещает критическую проблему, с которой сталкивается большинство предприятий: защита API как просто инфраструктуры, в то время как злоумышленники используют их как часть бизнес-логики. Этот пробел представляет собой реальный риск. Как предприятия переходят к защите с учетом намерений? По мере того, как предприятия ускоряют использование бессерверных архитектур, микросервисов и приложений на основе ИИ, разрастание API усиливается. При таком разрастании модель безопасности не может оставаться неизменной, в то время как структура приложения развивается. По мнению Витта, будущее безопасности API должно быть ориентировано на намерения пользователя. Защита должна оценивать, имеет ли последовательность вызовов смысл в контексте для пользователя, системы или ресурса, инициирующего их. Простого подтверждения личности недостаточно; безопасность также должна проверять поведение. Принципы нулевого доверия изменили стратегии для сетей и идентификации. API теперь требуют аналогичного контроля — не только на периметре, но и внутри самого рабочего процесса. API больше не являются просто бэкэнд-коннекторами; теперь они представляют собой видимую поверхность предприятия. Наиболее опасные атаки — это не попытки перебора паролей. На самом деле, наиболее тревожные атаки — это аутентифицированные действия, совершаемые со злым умыслом. Организации, которые постоянно отслеживают свои API, обеспечивают строгую авторизацию и выявляют злоупотребления рабочим процессом в режиме реального времени, могут значительно снизить риск утечек данных. Что еще важнее, они могут привести безопасность в соответствие с темпами бизнеса. В современной цифровой экономике API — это продукт. Выводы: API — это ваша основная поверхность атаки для бизнеса, а не бэкэнд-инфраструктура. Большинство вредоносных атак на API используют действительные учетные данные и уязвимости авторизации. Пробелы в видимости и отклонения API незаметно увеличивают вашу уязвимость с течением времени. Идентификаторы между машинами часто предоставляют чрезмерные, неконтролируемые привилегии. Обнаружение угроз в режиме реального времени с учетом намерений теперь имеет решающее значение для предотвращения злоупотреблений бизнес-логикой. Разделы 00:00 Введение в безопасность API 02:04 Понимание распространенных заблуждений об API 04:49 Текущая ситуация с угрозами API 06:43 Злоупотребление бизнес-логикой в ​​API 09:11 Проблемы безопасности API 12:03 Защита во время выполнения и обнаружение намерений 13:40 Ключевые выводы для лиц, принимающих решения в ИТ-сфере Для получения дополнительной информации посетите em360tech.com и radware.com Подписывайтесь: @EM360Tech на YouTube, LinkedIn и X @enterprisemanagement360 Radware YT: @radware Radware LinkedIn:   / radware   Radware X: @radware #APISecurity #BusinessLogicAbuse #AuthenticatedAttacks #RuntimeProtection #IntentAwareSecurity #Radware #Кибербезопасность2026 #OWASP #БизнесЛогика #НулевоеДоверие #ТехноПодкаст #КорпоративнаяБезопасность #ЗащитаНаУчетНамерений #СтратегБезопасности #Кибербезопасность