Egységes API-védelem Telco- és mobilszolgáltatók számára – Idő az érték megszerzéséhez

A legnagyobb mobilszolgáltató 4600 API-t azonosított
napokban, nem hetekben vagy hónapokban

Az ország legnagyobb mobilszolgáltatójának biztonsági csapatának gondot okozott, hogy következetes és teljes leltárt kapjon a vállalat kiterjedt API-lábnyomáról. A küldetéskritikus API-alapú alkalmazások vezérelték mobilhálózatuk mindennapi kezelését, de az API-k száma gyorsan meghaladta azt a képességüket, hogy lépést tudjanak tartani velük.

Főbb célok: Teljes API-katalógus

A biztonsági csapat célja 2021-ben az volt, hogy teljes, folyamatos leltárt szerezzenek a szervezetükön belüli összes API-ról, hogy biztosítsák, hogy megértsék teljes API-lábnyomukat. Az egész szervezetben voltak olyan szoftvercsoportjaik, amelyek támogatták az API-alkalmazások fejlesztését, de egymástól függetlenül működtek. Az eredmény olyan árnyék API-k lettek, amelyeket nem katalogizáltak, és amelyek kívül esnek a biztonsági csapat ellenőrzésén. Azonban, mivel rengeteg csapat vesz részt az API-fejlesztésben, és az API biztonsági megoldások hiányában a felügyelt és a nem menedzselt API-k katalogizálása nehézkes, időigényes és pontatlan volt.

Karcolások a felületen

Arra a kérdésre, hogy hány API-juk van, a biztonsági csapat azt válaszolta, hogy körülbelül 100 API-juk van, amelyeket manuálisan dokumentáltak. Intuitív módon tudták, hogy csak a felszínt kapargatják, hiszen (valószínűleg) több száz, ha nem több ezer API létezik, amelyek még nem ismertek, és nem szerepelnek a meglévő API-katalógusukban.

Az API Sentinel automatizálja az API-felderítést

A Cequence bemutatta az API Sentinelt a biztonsági csapatnak, és elindult a proof of concept (PoC). Az API Sentinel néhány nap alatt történő üzembe helyezésével több mint 4600 aktív API-végpontot fedezhettek fel az infrastruktúrájukban – ez 98%-os növekedést jelent az API láthatóságában és készletében ahhoz képest, amivel a biztonsági csapat néhány nappal az indulás előtt rendelkezett. Ezenkívül mélyreható biztonsági betekintést nyerhettek, beleértve a következőket:

  • 6 olyan érzékeny adat-expozíciós incidens, ahol ügyfél-azonosító, számlaszám és egyéb kapcsolódó üzleti érzékeny adatok kerültek nyilvánosságra.
  • 5 olyan felhasználó-hitelesítési probléma, amikor a felhasználónév és a jelszavak egyszerű szövegben jelentek meg, olyan információkkal, amelyeket a támadó elolvashatott.
  • Az észlelt 4 hamis kérésfejléc célja az volt, hogy rávegyék az alkalmazást a bizalmas adatok megszerzésére irányuló csalárd kérések feldolgozására.

API Sentinel irányítópult

Egységes API védelem távközlési vállalatok számára

Azonnali javulás az API védelemben, minőségben és konzisztenciában

Minden egyes felfedezett API-végpont esetében az API Sentinel órákat takarított meg a fejlesztőknek azzal, hogy manuálisan ellenőrizte, hogy API-jaik megfelelnek-e az OpenAPI specifikációinak. Ezen túlmenően ez segített létrehozni egy olyan alapvonalat, amelyet ha a fejlesztő módosítana vagy fejléceket vagy mezőket adna hozzá, az API Sentinel fel tudja fedezni és katalogizálni tudja ezeket a változtatásokat, frissítést biztosítva ezzel a biztonsági csapatnak. Ez lehetővé teszi a biztonsági csapatok számára, hogy proaktívan és folyamatosan figyeljék API-végpontjaik változásait, így mindig naprakészek lehetnek API-juk legújabb biztonsági állapotával.

API Sentinel 2 perces bemutató videó

Következtetés

A Cequence bevezetésével folyamatos védelmi folyamatot tudtak elérni API-jaik számára, beleértve az észlelést, leltárt, követést és kockázatértékelést. Amikor új API-kat vezettek be, az API Sentinel azonnal hozzáadta őket API-katalógusához. Az irányítópulton megjelennek a meglévő API-k szoftveres módosításai, például a paraméterek változásai vagy a bizalmas adatoknak való hirtelen kitettség. A biztonsági csapat most együtt dolgozhat a fejlesztő csapattal, hogy feltárja azokat a kritikus API biztonsági réseket, amelyeket azonnal orvosolni kellett, mielőtt egy esetleges API-kihasználás súlyos adatszivárgáshoz vezethetne – próbálja ki az API Sentinelt még ma.

Ingyenes API biztonsági értékelés az API támadási felületéről
Tekintse meg a támadó véleményét a szervezetéről

Ingyenes API biztonsági értékelés

The post Egységes API védelem telcos és mobilszolgáltatók számára – Time to Value appeared first on Cequence Security.

*** Ez a Security Bloggers Network szindikált blogja a Cequence Security-től, írta Muzaffer Pasha. Olvassa el az eredeti bejegyzést: https://www.cequence.ai/blog/unified-api-protection-for-telcos-customer-testimonial/

Leave a Comment

%d bloggers like this: