technology

Cyber threat to APIs poses challenge to data-driven businesses

विशेषज्ञों ने कहा कि भारत में ऐप्स के विकास के बीच पिछले कुछ वर्षों में बड़ी संख्या में एपीआई विकसित हुए हैं, जो डेटा-संचालित व्यवसायों के लिए एक बड़ी साइबर सुरक्षा चुनौती पेश करते हैं।

साइबर सुरक्षा विश्लेषकों का कहना है कि 2025 तक 50% से अधिक डेटा चोरी कमजोरियों के कारण होगी अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) संगठन उन्हें बिना पर्याप्त सुरक्षा परीक्षण के जोड़ रहे हैं। एपीआई डेटा-संचालित व्यवसायों के लिंचपिन हैं क्योंकि वे खुले बिल्डिंग ब्लॉक हैं जो किसी भी ऐप के बैकएंड को फ्रंटएंड से जोड़ते हैं।

सुनील शर्मा, प्रबंध निदेशक, बिक्री, भारत और सार्क, सोफोस कहते हैं, “आम आदमी की शर्तों में, यदि आप एक रेस्तरां में बैठे हैं, तो रेस्तरां की रसोई से बातचीत करने का एकमात्र तरीका एक वेटर के माध्यम से है जो संदेशवाहक के रूप में कार्य करता है और ग्राहक को बताता है। आपके आदेश के बारे में रसोई और फिर आपका भोजन वितरित करता है। एपीआई इन वेटरों के समान हैं। क्या होगा अगर वेटर आपका ऑर्डर भूल जाए या गलत डिश परोस दे?

शर्मा कहते हैं कि यदि उपयोगकर्ता या एप्लिकेशन ठीक से प्रमाणित और अधिकृत नहीं है तो एपीआई अनधिकृत पहुंच के लिए अतिसंवेदनशील हो सकता है।

AppSentinels.ai के सह-संस्थापक मोहित जोशी कहते हैं, व्यवसाय अन्य सेवा प्रदाताओं के लिए भी अपने एपीआई खोलते हैं ताकि बाद वाले ग्राहकों के लिए अपने अनुकूलित समाधान बना सकें। उदाहरण के लिए, यदि कोई ओला या उबेर के माध्यम से कैब बुक करता है, तो कैब एग्रीगेटर Google मैप्स एपीआई का उपयोग करता है। इसी तरह, यूपीआई के माध्यम से खरीदार को भुगतान करते समय, रेज़रपे एक एपीआई (एक्सेस के लिए पूछता है) पर सवाल उठाता है। यहां तक ​​कि अगर कोई अपने सोशल मीडिया अकाउंट का उपयोग करके वेबसाइट पर साइन अप करता है, तो बाद वाला एपीआई प्रमाणीकरण सुनिश्चित करता है। “जैसा कि जीवन इतना आसान हो जाता है और इन एपीआई के माध्यम से डेटा ट्रांसफर निर्बाध हो जाता है, अगर एपीआई हैक हो जाए तो क्या होगा?” जोशी पूछते हैं।

एपीआई सुरक्षा आज अधिक महत्वपूर्ण है क्योंकि हर व्यवसाय डिजिटल रूप से बदल रहा है। वेंकटेश सुंदर, संस्थापक, अध्यक्ष, अमेरिका, इंडसफेस कहते हैं, “एपीआई अर्थव्यवस्था और आईओटी उपकरणों का विस्फोट ऐप से ऐप ट्रैफ़िक चला रहा है। आज, ऐप से ऐप संचार के लिए इंटरनेट ट्रैफ़िक मानव से ऐप/वेबसाइट ट्रैफ़िक से अधिक हो सकता है। सुंदर कहते हैं कि कमजोर या हैक किए गए एपीआई लोगों के लिए वित्तीय, चिकित्सा और व्यक्तिगत डेटा को उजागर कर सकते हैं।

सिक्योरन के अध्यक्ष और सह-संस्थापक राम मोवा का कहना है कि यह ध्यान में रखते हुए कि एक एपीआई एक मिनी वेबएप है, वही सुरक्षा उपाय जो एक वेबएप के लिए किए जाते हैं, एक एपीआई के लिए किए जाने चाहिए। लेकिन उस मानसिकता की कमी है। जब यूजर इंटरफेस (यूआई) को वेबएप में संशोधित किया जाता है, तो यह दिखाई देता है और इस प्रकार परीक्षण को तुरंत पूरा करता है। जब एपीआई अंतिम उपयोगकर्ताओं के लिए दृश्यमान नहीं होते हैं और अक्सर डेवलपर्स उन्हें सुरक्षा के परीक्षण के बिना जल्दबाजी में जारी करते हैं, मोवावा कहते हैं।

सभी संगठन अपने प्लेटफॉर्म/उत्पादों/सेवाओं को अपनाने के लिए दौड़ रहे हैं और कार्यक्षमता बढ़ाने के लिए एपीआई को तेजी से जोड़ रहे हैं। एपीआई अपनाने की गति बहुत तेज होने वाली है और विभिन्न ऐप्स को जोड़ने के मामले में इसका बड़ा प्रभाव पड़ेगा। इसलिए यह स्वाभाविक है कि भविष्य में एपीआई उल्लंघनों में वृद्धि होगी। एपीआई की सुरक्षा का लगातार आकलन करना साइबर हाइजीन का हिस्सा होना चाहिए।

Traceable.AI के सह-संस्थापक और सीटीओ संजय नागराज का कहना है कि एपीआई न केवल एक सार्वभौमिक हमले के वेक्टर बन गए हैं, बल्कि वे सभी वैक्टरों में हमले की सतह का विस्तार करते हैं – उद्योग में सबसे बड़ी हमले की सतह।

एपीआई सुरक्षा अभी भी एक अपेक्षाकृत नई जगह है, लेकिन शोषण किए गए एपीआई के प्रत्यक्ष परिणाम के रूप में हाल ही में हाई-प्रोफाइल डेटा उल्लंघनों के साथ यह कर्षण प्राप्त कर रहा है। अधिकांश मौजूदा समाधान वास्तव में केवल किनारे को देख रहे हैं। वे अपने सिस्टम और एपीआई में गहराई तक नहीं जाते हैं।

गार्टनर के अनुसार, पिछले साल 2022 में, एपीआई का दुरुपयोग डेटा उल्लंघनों के लिए सबसे लगातार हमला करने वाला वेक्टर बन जाएगा; और 2024 तक, एपीआई का दुरुपयोग और संबंधित डेटा उल्लंघन लगभग दोगुना हो जाएगा। नागराज कहते हैं, टी-मोबाइल से लेकर लिंक्डइन और यहां तक ​​कि वेनमो तक, उपभोक्ता और कंपनियां एपीआई के दुरुपयोग के प्रभावों को महसूस कर रहे हैं।

ज़ोंबी/भूल गए एपीआई

एक और समस्या यह है कि संगठनों को यह नहीं पता होता है कि उनके पास कितने एपीआई हैं, वे एपीआई क्या कर रहे हैं और वे कहां रहते हैं। एपीआई फैलाव का प्रबंधन जटिल हो सकता है, खासकर जब कई एपीआई को सुरक्षित करने की कोशिश की जा रही है जो लगातार बदल रहे हैं और विकसित हो रहे हैं। जैसे-जैसे एपीआई की संख्या बढ़ती है, उन्हें प्रभावी ढंग से सुरक्षित करना अधिक कठिन हो जाता है।

ज़ोंबी एपीआई बहिष्कृत एपीआई हैं जो डेवलपर्स मानते हैं कि निष्क्रिय और अक्षम हैं, लेकिन वास्तव में पृष्ठभूमि में दुबके हुए हैं, शोषण के लिए अविश्वसनीय रूप से कमजोर हैं। वे अक्सर नियमित सुरक्षा अद्यतनों से बाहर रह जाते हैं, और जब हैकर्स नई हमले तकनीकों को अपनाते हैं तो उनकी पुरानी प्रकृति की संभावना कम होती है।

Back to top button

Adblock Detected

Ad Blocker Detect please deactivate ad blocker