IT News פורטל המחשוב העסקי וההייטק של ישראל
בשנה האחרונה עלו לכותרות יותר ויותר מתקפות שקשורות לבעיות אבטחה של API, אותו ממשק שמאפשר לארגונים לחלוק מידע עם אפליקציות חיצוניות בצורה מאובטחת. חברת הסייבר הישראלית Salt Security מציעה את הפתרון הראשון והמקיף ביותר לאבטחת API בארגון, כדי להבין יותר טוב איך הפתרון שלה עובד פגשנו לשיחה את גלעד ברזילי, סמנכ"ל פיתוח עסקי בחברה.
למה נולד הפתרון של הגנה על API?
"השימוש ב-API הלך וצמח בעשור האחרון בצורה משמעותית, כאשר אם בעבר היה מדובר רק בממשק שמציע מידע בסיסי, היום כבר מדובר בתשתית הליבה של הפלטפורמה הטכנולוגית של החברה. בין אם מדובר ב-API שמיועד לשימוש פנימי בלבד, ובין אם מדובר בשירות שמיועד גם לגורמים חיצוניים. דרך נקודות API עוברת תעבורת מידע משמעותית שהיא קריטית ליישומים רבים ובכל זאת הנקודה הזאת לא תמיד זכתה להתייחסות מקיפה מבחינת אבטחה. ככל שארגונים עוברים לענן השימוש ב-API גובר. חברות היום צריכות לנהל עשרות API שונים, כאשר חלק מהלקוחות שלנו מנהלים למעלה מ-100 שירותים שונים. לא מדובר רק בחברות טכנולוגיה שמבססות את התשתית שלהן על API. קח לדוגמא את הרגולציה החדשה בארץ בנושא בנקאות פתוחה שמחייבת בנקים להציע API לחברות צד שלישי. מדובר בנקודת תורפה חדשה מבחינתם והפתרון שלנו מיועד להגן על זה בכל שלב".
מה הפתרון שלכם בעצם עושה?
"הפתרון שלנו שיודע לחבר פיסות מידע שונות לאורך זמן כי זה מה שההאקרים עושים על מנת למצוא נקודות תורפה. בנוסף הפתרון שלנו יודע לטפל בכל התחום של אבטחה ל-API גם עוד בשלבי הפיתוח והבדיקות אנחנו מציעים לחברות לבדוק את האפליקציה שלהם בכל שלב של הפיתוח ולעלות עם פתרון מאובטח".
פרסמתם לאחרונה דוח שסוקר את מצב אבטחת ה-API. מה אפשר ללמוד ממנו?
"הדוח שלנו עוקב באופן רבעוני אחר האיומים בתחום אבטחת API. בדוח שפרסמנו עבור הרבעון ה-3 של השנה, שמבוסס על מידע מהלקוחות שלנו ומידע מ-350 חברות ברחבי העולם הפועלות בתחומים שונים, עולה כי המשיבים חוו עליה של 117% בתעבורה של תקיפות API, וזאת בעקבות עלייה של 168% בתעבורת ה-API שלהם. למעשה 2.1% מכלל התעבורה שמגיעה ל-API היא תעבורה זדונית, כאשר 34% מהלקוחות חוו מעל 100 ניסיונות פריצה ל-API בחודש, גידול של 30% לעומת שנה שעברה. מדובר בנתונים שכל מי שאחראי על אבטחת מידע בארגון צריך להכיר".
איך אתה רואה את התחום ההגנה על API מתפתח בעתיד?
"אנחנו רואים עלייה במספר התקיפות כל הזמן, ומצד שני דרישה של ארגונים מכל התחומים להגנה על השירותים הללו. חלק מהפתרון שלנו מאפשר לארגונים גם לנהל את ההגנה על מידע רגיש, ולזהות נקודות תורפה בנוגע לדליפת מידע רגיש. במדינות שונות בעולם הרגולציה על דיווח ועל דליפת מידע הולכת וגוברת, והפתרון שלנו נועד לתת גם מענה לזה, כי טיפול לא נכון בדליפת מידע יכול להוביל לנזק משמעותי לחברה לא פחות מהפריצה עצמה".
האם תשתתפו השנה בכנס re:Invent?
"אנחנו מריצים את הפלטפורמה שלנו על AWS, ובזכות שירותי הענן המתקדמים של AWS אנחנו מסוגלים להציע פתרון טוב יותר ללקוחות שלנו. בנוסף יש לנו לידים רבים שמגיעים בזכות החשיפה שלנו במרקטפלייס של AWS, אנחנו גם נשתתף בכנס re:Invent שבו אנחנו מתכוונים לפגוש את הלקוחות שלנו, שותפים ומנהלי אבטחת מידע מחברות בתחומים שונים".
