چرا APIها به مدیریت هویت و دسترسی بهتر نیاز دارند؟

همه ما این تجربه را داشته‌ایم: هنگام گشت‌وگذار در یک وبسایت یا اپلیکیشن، ناگهان با صفحه‌ای پر از داده روبه‌رو می‌شویم که باعث می‌شود فکر کنیم: «فکر نمی‌کنم باید بتوانم این را ببینم.»

در اکثر مواقع، به سادگی پنجره را می‌بندیم و به کار خود ادامه می‌دهیم. اگر کمی بخشنده باشیم، ممکن است یک ایمیل ارسال کنیم یا یک تیکت پشتیبانی ثبت کنیم و آسیب‌پذیری را توضیح دهیم تا شرکت مربوطه اقدامات لازم را انجام دهد. اما اگر آن شرکت خود ما باشد چی؟

اگر با محصول داخلی سروکار داریم، ممکن است بتوانیم دست به کار شویم و سعی کنیم مشکل را خودمان رفع کنیم. در چنین مواردی، زمان اهمیت زیادی دارد زیرا متأسفانه بازیگران مخرب به طور فزاینده‌ای به دنبال سوءاستفاده از این نوع آسیب‌پذیری هستند.

بر اساس گزارش CrowdStrike در سال ۲۰۲۴، نقض‌های مبتنی بر هویت ۸۰٪ حملات سایبری را تشکیل می‌دهند. همچنین، Verizon نشان داده است که بیش از یک سوم نقض داده‌ها شامل بازیگران داخلی بوده است. ۷۳٪ از این نقض‌ها به دلیل «خطاهای متفرقه» رخ داده‌اند.

در ادامه، بررسی خواهیم کرد که چرا مدیریت صحیح دسترسی مبتنی بر هویت در فضای API بسیار حیاتی است، پیامدهای کنترل ضعیف هویت و مجوزدهی را شرح می‌دهیم و روش‌هایی برای کاهش این ریسک‌ها ارائه می‌کنیم.

رشد و گسترش مدیریت هویت و دسترسی

با یک سؤال ساده اما مهم شروع کنیم: مدیریت هویت و دسترسی (IAM) چیست؟ IAM، که گاهی صرفاً مدیریت هویت یا IdM نامیده می‌شود، به چارچوب فناوری گفته می‌شود که سازمان برای امکان دسترسی کاربران به داده‌های مناسب در زمان نیاز ایجاد می‌کند.

در عمل، این به معنای ایجاد و نگهداری هویت‌های دیجیتال متعدد برای کاربران مختلف است که دسترسی به سطح صحیح داده را فراهم می‌کند. با افزایش کار از راه دور که توسط پاندمی کرونا تسریع شد، مدیریت هویت و دسترسی بیش از هر زمان دیگری اهمیت پیدا کرده است.

البته، امکان دسترسی کارکنان و سایر ذی‌نفعان به اطلاعات مورد نیاز از خارج از دفتر بدون به خطر انداختن انطباق و امنیت، مشکلات جدیدی ایجاد کرده است. سیاست‌های BYOD و نیازهای دسترسی از راه دور سطح تهدیدات را گسترش داده و نظارت و ممیزی ذخیره‌سازی داده و همچنین مدیریت اعتبارنامه‌ها را دشوارتر کرده است.

در نتیجه این پیچیدگی افزایش یافته، برخی سازمان‌ها در زمینه سیاست‌های IAM خود عقب مانده‌اند. تحقیقات Sailpoint نشان می‌دهد که تا ۷۰٪ کارکنان ممکن است پس از ترک سازمان، دسترسی نامناسب به داده‌های حساس داشته باشند.

خطرات مدیریت نادرست IAM چیست؟

پیامدهای عدم سرمایه‌گذاری کافی در IAM جدی است. به عنوان مثال، این می‌تواند منجر به دسترسی غیرمجاز به داده‌های حساس (و در نتیجه نقض داده‌ها)، اختلال در سرویس (به دلیل قفل شدن کاربران)، جریمه‌های عدم انطباق و از دست دادن اعتماد مشتری شود.

تمام این ریسک‌ها در فضای API تشدید می‌شوند، جایی که Curity (حامی قدیمی جامعه Nordic APIs) اشاره می‌کند که ممکن است ۱ از هر ۵ API ناامن باشد. وب‌سایت آن‌ها می‌گوید: «بدون ارتباط بین IAM و APIها، APIهای شما نمی‌توانند تصمیمات دسترسی صحیح بگیرند.»

در سال ۲۰۲۴، پشتیبان یک سازمان معمولاً پیچیده است و به چندین API متکی است. این امر به ویژه برای صنایعی مانند بانکداری، فین‌تک، بیمه و مراقبت‌های بهداشتی صادق است. آن‌ها ممکن است از روش‌های مختلف کنترل دسترسی استفاده کنند و فرآیندهای مدیریت هویت یا مجوزدهی قوی نداشته باشند.

این سازمان‌ها همچنین ممکن است نیاز به یک سرور هویت متفاوت برای تکمیل گیت‌وی‌ها یا ابزارهای مدیریت API داشته باشند. همه این‌ها نشان می‌دهد که IAM در سازمان‌ها اغلب، در بهترین حالت، ناسازگار و در بدترین حالت، منجر به ریسک‌های امنیتی و انطباق می‌شود.

یکی از راه‌حل‌ها، استفاده از پلتفرم هویت مشترک است که استانداردهای OAuth و OpenID Connect را برای ارائه راه‌حل IAM انعطاف‌پذیر، مقیاس‌پذیر و امن برای توسعه‌دهندگان، مشتریان، تأمین‌کنندگان و سایر ذی‌نفعان بدون به خطر انداختن قابلیت استفاده، به کار می‌گیرد. به طور کلی، ما شاهد جابجایی از راه‌حل‌های محلی (مانند شبکه‌های امن اداری) به سمت راه‌حل‌های ابری IAM و ابزارهای طراحی شده برای محیط‌های دورکاری یا ترکیبی بوده‌ایم.

آینده مدیریت هویت و دسترسی

در حال حاضر، نام کاربری و رمز عبور همچنان روش استاندارد برای احراز هویت هستند. اما تا چه زمانی؟ بسیاری از سازمان‌ها چارچوب‌های خود را با روش‌هایی مانند رمز یکبار مصرف (OTP) و احراز هویت چندعاملی، از جمله از طریق پیامک یا اپلیکیشن‌های احراز هویت، تقویت می‌کنند.

روش‌های احراز هویت بدون رمز عبور — اثر انگشت، تشخیص چهره، کلیدهای سخت‌افزاری — همچنان محبوبیت دارند و سادگی آن‌ها باعث می‌شود کاربران آن‌ها را دوست داشته باشند. در فضای API، توکن‌های دسترسی OAuth می‌توانند بسیاری از کارکردهای مشابه را انجام دهند.

متأسفانه، مانند بازی Whack-A-Mole، آسیب‌پذیری‌ها و ریسک‌های امنیتی تازه با این روش‌ها ظاهر می‌شوند. به عنوان مثال، در سال ۲۰۲۳، Salt Labs به طور گسترده در مورد شناسایی و حل یک آسیب‌پذیری مهم OAuth نوشت.

در نتیجه، بسیاری از سازمان‌ها به سمت مدل اعتماد صفر (Zero Trust) حرکت می‌کنند که احراز هویت مداوم، حداقل امتیاز دسترسی و رمزنگاری حتی برای کاربران داخلی را اعمال می‌کند. انتظار می‌رود از هوش مصنوعی برای شناسایی تهدیدات در زمان واقعی و گزارش فعالیت‌های مشکوک کاربران بیشتر استفاده شود.

برای APIها، این اغلب به OAuth و کلیدهای API برمی‌گردد. اما بسیاری از بهترین شیوه‌های اعتماد صفر نیز در اینجا اعمال می‌شوند. حداقل امتیاز دسترسی، مکانیزم‌های احراز هویت قوی، کنترل دسترسی دقیق و JWTها همچنان در آینده نزدیک اهمیت خواهند داشت.

یک نکته قطعی است: همانطور که مدیریت هویت و دسترسی پیشرفت می‌کند، روش‌های مورد استفاده هکرها و بازیگران مخرب نیز تکامل خواهد یافت. سازمان‌ها نمی‌توانند روی موفقیت گذشته خود تکیه کنند و بگویند: «خب، IAM همینی که هست!»