"ממשקי API – וקטור התקיפה מספר 1"

"כלל חברות המחקר, וגרטנר ביניהן, חוזות מאז 2019 שממשקי API יהפכו להיות וקטור התקיפה מספר 1, והנתונים שלנו תומכים בקביעה זו, ללא כל סימן להאטה. ארגונים נדרשים 'לזוז שמאלה', כדי לטפל במחזור החיים המלא של ה-API – וזה מה שעשינו", כך אמר מייק ראו, סגן נשיא בכיר ב-F5.

ראו התראיין בעקבות הפרסום הבלעדי מפברואר השנה באנשים ומחשבים שלפיו F5 רכשה את וויב (Wib) הישראלית בעשרות מיליוני שקלים. הנרכשת פיתחה פלטפורמת אבטחה מוכללת של API (ממשקי תכנות יישומים), והרכישה היא חלק ממהלכי F5 להתאים את פתרונות אבטחת היישומים שלה לעידן הבינה המלאכותית.

"מערכת העצבים המרכזית הנסתרת של חיינו הדיגיטליים"

"ממשקי API מפעילים את האפליקציות שבהן אנחנו משתמשים, לדוגמה כדי לרכוש את הקפה הראשון שלנו בבוקר או לבדוק את מזג האוויר", אמר ראו. "כל ארגון מסתמך על ממשקי API כדי להניע את העסק שלו. ממשקים אלה הם מערכת העצבים המרכזית הנסתרת של חיינו הדיגיטליים. כניסתם שינתה את העולם לטובה באינספור דרכים, אבל הפתיחות הזו דורשת הגנה מתאימה, כי כשהיישומים והארכיטקטורות של הארגון משתנות, כך משטחי ההתקפה שלו גדלים והוא פגיע יותר. אמצעי אבטחה מסורתיים נותרו חיוניים, אבל הם לא מצליחים להגן בצורה מלאה על ממשקי ה-API. הם נבנו עבור משטחי ההתקפה של היום, בלא יכולת לחזות את משטח ההתקפה העתידי ושינויים שנגרמו בעקבות האימוץ המהיר של ממשקי API בשנים האחרונות".

"אנחנו, ב-F5, מנטרים כמעט מחצית מהיישומים בעולם, ומספקים מידע למתקפות על אפליקציות אינטרנט ומובייל מודרניות", ציין. "כיום, יותר מ-90% ממתקפות הסייבר מכוונות לנקודות קצה של ה-APIs, והן מנסות לנצל נקודות תורפה חדשות יותר, פחות מובנות, שנחשפות לרוב בממשקי API שאינם מנוטרים באופן פעיל על ידי צוותי אבטחה".

"ככל שהמתקפות ומשטחי התקיפה משתנים, ההגנה חייבת להיות יותר דינמית ומסתגלת"

ראו הוסיף כי "ככל שהמתקפות ומשטחי התקיפה משתנים, ההגנה חייבת להיות יותר דינמית ומסתגלת. הופעת הבינה המלאכותית היוצרת מגדילה במהירות את היקף האפליקציות וממשקי ה-API, ומוסיפה עוד מורכבות לאבטחה. ארגונים זקוקים לאסטרטגיית הגנה דינמית, שמתמקדת בגילוי ובצמצום סיכונים, למניעת פריצות מביכות".

"יש להבין", ציין, "שצוותי ההגנה בארגון לא יודעים בכמה ממשקי API הארגון שלהם משתמש, היכן הם נמצאים, ומה התאימות והסיכונים האחרים שקשורים לנתונים הקריטיים ולתהליכים העסקיים שהממשקים האלה תומכים בהם. אי אפשר להגן על מה שלא יכולים לראות, ואי אפשר לנהל ביעילות את הסיכון של משטח מתקפה שלא מבינים. שטחים מתים של API הפכו לבעיה מהותית".

ראו עבד בוולטרה, שנרכשה ב-2021 תמורת חצי מיליארד דולר. וולטרה פיתחה פלטפורמה שמאפשרת לארגונים לבנות, להטמיע, לאבטח ולהפעיל יישומים ונתונים באופן אחיד בכל סוגי העננים. "המענה", לדבריו, "הוא לא בפתרונות נקודתיים שמיועדים להיבט כזה או אחר של פיתוח API, כי הוא חלקי ומוגבל".

צ'אק הרין, סמנכ"ל הטכנולוגיות של וויב. צילום: יח"צ

לדברי צ'אק הרין, סמנכ"ל הטכנולוגיות של וויב, "הרכישה מביאה לכך ש-F5 'זזה שמאלה', משמע – מספקת הגנה על מחזור החיים המלא של ה-API. הרכישה מעניקה לה יכולות לזיהוי פגיעות וצפייה בתהליכי פיתוח אפליקציות, זיהוי סיכונים והטמעת מדיניות – לפני כניסת ממשקי ה-API לייצור".

הוא ציין כי "השילוב של הפלטפורמה שלנו מספק פתרון אבטחת API מקיף, שכולל ניתוח קוד API כדי לגלות נקודות קצה של API ולהעריך את הסיכונים שלהם לפני שהם נפרסים בייצור, לאתר פגיעויות ולאמת איומים חשודים, וכן לנטר ולהעריך את נכסי הארגון בהקשר של הופעת ממשקי API חדשים. יש לנו גם מנוע היתוך לאבטחת API, כדי לבנות מצב שבו כל איום, פגיעות או תובנה מאומתים בכל מקורות המידע".

ראו סיכם באומרו כי "בתעשייה בזבזו זמן על אבטחה מבוססת רכיבים נקודתיים, וכך פספסו את התמונה הגדולה. ארגונים נדרשים לסגת צעד אחד לאחור, לזהות ולמפות את הנכסים שלהם, ואז לבנות מנגנון הגנה מוכלל. 2024 היא הזמן לבחון מחדש את מודל האיומים – ולהשיב את אבטחת האפליקציות למרכז, לבסיס. עם רכישת וויב, אנחנו מתאימים את פתרונות אבטחת היישומים שלנו לעידן הבינה המלאכותית, ומספקים יכולות חדשות, שמפחיתות את המורכבות של ההגנה וההפעלה של יישומים וממשקי API רבים, שנמצאים בליבה של החוויה הדיגיטלית המודרנית. וויב הישראלית מחזקת את שירותי הענן המבוזרים שלנו".