Портал API

Ключевые цифры:

• 99% компаний столкнулись с проблемами безопасности API за последний год
• 55% замедляли вывод приложений в продакшен из-за уязвимостей в API
• Только 20% организаций мониторят API в реальном времени
• 95% атак исходят от аутентифицированных пользователей

Эти данные из отчёта State of API Security 2025 (Q1) компании Salt Security рисуют тревожную картину: бурный рост API-экосистем опережает возможности по их защите. Сделаем обзор и разберем ключевые тренды.

Драйверы роста: почему API критически важны

API уже давно превратились в фундамент цифровой трансформации. Вот главные мотивы:

• Эффективность разработки (43%) — стандартизация процессов
• Интеграция систем (34%) — устранение "силосов" данных
• Миграция в облако (30%)
• Монетизация данных — создание новых каналов дохода

Масштабы впечатляют:

• 43% компаний управляют до 100 API
• 13% (в основном крупный бизнес — 10k+ сотрудников) управляют свыше 1000 API
• 30% организаций увеличили число API за год более чем на 50%

Бурный рост и пробелы в безопасности

1. Слепые зоны в мониторинге

• Лишь 20% отслеживают API в реальном времени
• 58% проверяют API реже одного раза в день
• 26% не могут выявить угрозы во время выполнения (runtime)

2. Хаос в инвентаризации

• Только 15% уверены в точности перечня своих API
• 34% не контролируют экспозицию чувствительных данных (например, PII) через API
• 50% полагаются на ручную документацию от разработчиков

3. Недостаточное внимание к стандартам безопасности

• Только 34% компаний используют рекомендации OWASP API Security Top 10
• 38% специалистов по ИБ сообщили, что их команды не выделяют OWASP как фокус в своих стратегиях

4. Ограниченность ресурсов
Ключевые барьеры:

• Нехватка бюджета (30%)
• Дефицит кадров (22%)
• Недостаток специализированных инструментов (10%)

Новая угроза: Gen AI
ИИ-инструменты активно применяются для автоматической генерации кода, но создают новые критические риски.

• 41% организаций считают GenAI растущей угрозой
• Лишь 18% уверены в способности своевременно реагировать на AI-атаки
• 51% проявляют только умеренную степень уверенности

Главные вызовы:

• Недостаточная безопасность AI-сгенерированного кода (47%)
• Потенциальные новые уязвимости (40%)
• Сложность проверки качества и корректности генерируемого кода (31%)

Как компании отвечают:

• 56% обучают разработчиков безопасной работе с AI
• 40% внедряют обязательный код-ревью и тестирование
• 37% используют специализированные AI-инструменты безопасности
• 26% внедряют политики и фреймворки управления GenAI

Анатомия атак: откуда готовится нападение

По данным Salt Labs, реальность отличается от классических сценариев:

• 95% атак исходят от аутентифицированных пользователей — чаще всего через украденные учётные данные или инсайдерскую активность
• 98% атак направлены на внешние API, что делает публичные интерфейсы главным фронтом обороны

80% всех зафиксированных атак используют уязвимости, описанные в OWASP API Security Top 10:

• Некорректная конфигурация безопасности (API8) — 54%
• Нарушение объектного уровня авторизации (API1 / BOLA) — 27%
• Остальные атаки включают недостатки логирования, контроля версий и другие распространённые изъяны

Рекомендации от Salt Security

1. Real-time — приоритет
   Отказ от периодических аудитов в пользу непрерывного автоматического мониторинга API-трафика позволяет быстрее выявлять аномалии и атаки.
2. Автоматизация инвентаризации
   Современные подходы обеспечивают автоматическое обнаружение "теневых API", zombie-интерфейсов и PII. Полная картина API-ландшафта — основа стратегии защиты.
3. Стандарты и фреймворки
   OWASP API Security Top 10 и NIST CSF должны стать обязательными для соблюдения. Они покрывают наиболее распространённые и опасные угрозы для API.
4. Гибкая защита от угроз GenAI
   Код-ревью, обучение и специализированные политики позволяют управлять рисками от AI. Важно признать: проблемы с AI не гипотетические, они уже здесь.
5. Инвестируйте в runtime-защиту
   Атаки становятся всё более сложными и проходят через аутентифицированных пользователей. Поведенческий и контекстный анализ на уровне API-контракта — ключевой инструмент для обнаружения BOLA, SSRF и логических атак.

Безопасность API требует упреждающего подхода: непрерывного обнаружения, строгой политики posture governance и real-time детекции угроз. Организации, которые применяют эти принципы, превращают API из ахиллесовой пяты цифрового бизнеса в надёжную платформу для роста, доверия и инноваций.

Источник: отчёт The State of API Security, Q1 2025 от Salt Security