Découvrez toutes les sessions à la demande du Sommet sur la sécurité intelligente ici.
La sécurité d’entreprise n’est pas facile. De petits oublis autour des systèmes et des vulnérabilités peuvent entraîner des violations de données qui affectent des millions d’utilisateurs. Malheureusement, l’un des oublis les plus courants concerne le domaine des API.
Pas plus tard qu’hier, T-Mobile a révélé qu’un acteur malveillant avait volé les informations personnelles de 37 millions de comptes clients postpayés et prépayés via une API exposée (qu’ils ont exploitée entre le 25 novembre 2022 et le 5 janvier 2023). Le fournisseur n’a pas expliqué comment les pirates ont exploité l’API.
Cet incident met en évidence que la sécurité des API devrait figurer en tête des priorités des RSSI et des organisations s’ils veulent empêcher que les données des clients ne tombent entre de mauvaises mains.
La tendance de l’exploitation des API
Avec l’augmentation spectaculaire de l’adoption du cloud au cours des dernières années, les analystes avertissent depuis longtemps les entreprises qu’un raz-de-marée d’exploitation des API se prépare. En 2021, Gartner avait prédit qu’en 2023, l’abus d’API passerait du vecteur d’attaque peu fréquent au vecteur d’attaque le plus fréquent.
Événement
Sommet sur la sécurité intelligente à la demande
Découvrez le rôle essentiel de l’IA et du ML dans la cybersécurité et les études de cas spécifiques à l’industrie. Regardez les sessions à la demande aujourd’hui.
Regardez ici
Ces prévisions semblent exactes, des recherches montrant que 53 % des professionnels de la sécurité et de l’ingénierie ont signalé que leur organisation avait subi une violation de données d’un réseau ou d’une application en raison de jetons d’API compromis.
De plus, il y a à peine un mois, des pirates ont exposé le compte et les adresses e-mail de 235 millions de Twitter utilisateurs après avoir exploité une vulnérabilité d’API initialement publiée en juin 2021, qui a ensuite été corrigée.
Alors que les acteurs de la menace cherchent à exploiter plus souvent les API, les entreprises ne peuvent pas se permettre de s’appuyer sur des solutions de cybersécurité héritées pour protéger cette vaste surface d’attaque. Malheureusement, la mise à niveau vers des solutions à jour est plus facile à dire qu’à faire.
“L’accès non autorisé à l’API peut être extrêmement difficile à surveiller et à enquêter pour les organisations – en particulier pour les entreprises – en raison de leur volume considérable”, a déclaré Chris Doman, directeur technique et cofondateur de Cado Security.
“Alors que de plus en plus d’organisations déplacent des données vers le cloud, la sécurité des API devient encore plus pertinente avec les systèmes distribués”, a déclaré Doman.
Doman note que les organisations qui cherchent à se protéger d’incidents tels que T-Mobile ont connu le besoin d’avoir une “bonne visibilité” sur l’accès à l’API et l’activité au-delà de la journalisation traditionnelle.
Ceci est important car la journalisation peut être contournée, comme ce fut le cas avec une vulnérabilité dans les API d’AWS qui permettait aux attaquants de contourner la journalisation CloudTrail.
Quelle est la gravité de la violation de données de l’API T-Mobile ?
Bien que T-Mobile ait affirmé que les attaquants n’étaient pas en mesure d’accéder aux informations de carte de paiement, aux mots de passe, aux permis de conduire, aux identifiants gouvernementaux ou aux numéros de sécurité sociale des utilisateurs, les informations recueillies fournissent suffisamment de matériel pour mener des attaques d’ingénierie sociale.
“Bien que T-Mobile ait publiquement révélé la gravité de l’incident, parallèlement à sa réponse – coupant l’accès des acteurs menaçants via l’exploit API – la violation a toujours compromis les adresses de facturation, les e-mails, les numéros de téléphone, les dates de naissance et plus encore”, a déclaré Cliff Steinhauer. , directeur de la sécurité de l’information et de l’engagement chez NCA.
“Ce sont des informations de base, mais juste assez pour planifier et exécuter une campagne d’ingénierie sociale suffisamment convaincante qui peut renforcer la capacité des mauvais acteurs à de nouvelles attaques”, a déclaré Steinhauer.
Ces attaques comprennent les attaques de phishing, le vol d’identité, la compromission de la messagerie professionnelle (BEC) et les ransomwares.
Pourquoi les violations d’API se produisent-elles ?
Les API sont une cible de choix pour les acteurs de la menace, car elles facilitent la communication entre les différentes applications et services. Chaque API définit un mécanisme de partage de données avec des services tiers. Si un attaquant découvre une vulnérabilité dans l’un de ces services, il peut accéder aux données sous-jacentes dans le cadre d’une attaque de type “man-in-the-middle”.
Il y a une augmentation des attaques basées sur les API, non pas parce que ces éléments ne sont pas nécessairement sécurisés, mais parce que de nombreuses équipes de sécurité n’ont pas les processus en place pour identifier et classer les API à grande échelle, sans parler de remédier aux vulnérabilités.
« Les API sont conçues pour fournir un accès immédiat aux applications et aux données. C’est un grand avantage pour les développeurs, mais aussi une aubaine pour les attaquants », a déclaré Mark O’Neill, analyste VP chez Gartner. « La protection des API commence par la découverte et la catégorisation de vos API. Vous ne pouvez pas sécuriser ce que vous ne savez pas.
Bien entendu, l’inventaire des API n’est que la pointe de l’iceberg ; les équipes de sécurité ont également besoin d’une stratégie pour les sécuriser.
« Ensuite, cela implique l’utilisation de passerelles API, la protection des applications Web et des API (WAAP) et les tests de sécurité des applications. Un problème clé est que la sécurité des API se divise en deux groupes : les équipes d’ingénierie, qui manquent de compétences en matière de sécurité, et les équipes de sécurité, qui manquent de compétences en API. »
Ainsi, les organisations doivent mettre en œuvre une approche de type DevSecOps pour mieux évaluer la sécurité des applications en cours d’utilisation (ou en développement) dans l’environnement, et développer une stratégie pour les sécuriser.
Identifier et atténuer les vulnérabilités de l’API
L’une des façons dont les organisations peuvent commencer à identifier les vulnérabilités des API consiste à mettre en œuvre des tests d’intrusion. La réalisation d’un test d’intrusion interne ou dirigé par un tiers peut aider les équipes de sécurité à voir à quel point une API est vulnérable à l’exploitation et fournir des étapes concrètes sur la façon dont elles peuvent améliorer leur posture de sécurité dans le cloud au fil du temps.
“Pour tous les types de logiciels, il est essentiel que les entreprises utilisent un code mis à jour et vérifient la sécurité de leurs systèmes, par exemple en organisant des tests d’intrusion – une évaluation de la sécurité qui simule différents types d’intrus… dont le but est d’élever les privilèges actuels et accéder à l’environnement », a déclaré David Emm, chercheur principal en sécurité chez Kaspersky.
De plus, c’est une bonne idée pour les organisations d’investir dans la réponse aux incidents. Ainsi, si une API est exploitée, elles peuvent réagir rapidement pour limiter l’impact de la violation.
“Pour être du bon côté lorsqu’une entreprise est confrontée à un incident, les services de réponse aux incidents peuvent aider à minimiser les conséquences, notamment en identifiant les nœuds compromis et en protégeant l’infrastructure contre des attaques similaires à l’avenir”, a déclaré Emm.
Le rôle de la confiance zéro
Les API non authentifiées et accessibles au public sont sensibles aux appels d’API malveillants, où un attaquant tentera de se connecter à l’entité et d’exfiltrer toutes les données auxquelles il a accès. De la même manière que vous ne feriez pas implicitement confiance à un utilisateur pour accéder aux PII, vous ne devriez pas non plus automatiquement faire confiance à une API.
C’est pourquoi il est essentiel de mettre en œuvre une stratégie de confiance zéro et de déployer un mécanisme d’authentification et d’autorisation pour chaque API individuelle afin d’empêcher les personnes non autorisées d’accéder à vos données.
“Lorsque vous avez des données sensibles (dans ce cas, les numéros de téléphone des clients, les adresses de facturation et e-mail, etc.) éparpillées dans des bases de données, mélangées à d’autres données, et que l’accès à ces données n’est pas correctement géré, ces types de violations sont difficiles à éviter”, a déclaré Anushu Sharma, co-fondateur et PDG de Skyflow.
« Les entreprises les mieux gérées et disposant des données les plus sensibles savent qu’elles doivent adopter de nouvelles architectures zéro confiance. Les mauvais acteurs deviennent plus intelligents. Adopter une nouvelle technologie de confidentialité n’est plus une option, c’est un enjeu de table », a déclaré Sharma.
La combinaison de cadres de contrôle d’accès comme OAuth2 avec des mesures d’authentification telles que le nom d’utilisateur, le mot de passe et les clés API peut aider à appliquer le principe du moindre privilège et garantir que les utilisateurs n’ont accès qu’aux informations dont ils ont besoin pour remplir leur rôle.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. Découvrez nos Briefings.
