كتب : مصطفى ابراهيم
كشفت شركة " F5 " عن نتائج "تقرير استراتيجية حالة التطبيقات 2024: أمن واجهات برمجة التطبيقات" والذي كشف عن حقائق مقلقة عن الحالة الراهنة لأمن واجهات برمجة التطبيقات في عدد من القطاعات. وسلط التقرير الضوء على فجوات كبيرة في حماية واجهات برمجة التطبيقات وانكشافها أمام عدد من التهديدات المحتملة التي قد تعرض أمن المؤسسات وعملياتها للخطر الكبير. وتتزايد حدة هذه التحديات بسبب الانتشار السريع لواجهات برمجة التطبيقات في العالم الرقمي اليوم.
وأوضح الاستطلاع أن أقل من 70% من واجهات برمجة التطبيقات المواجهة للعميل هي مؤمّنة باستخدام بروتوكول نقل النص الفائق الآمن (HTTPS) ما يجعل نحو ثلث واجهات برمجة التطبيقات غير محمية تماماً. ويشكل هذا الأمر تناقضاً صارخاً مع وجود 90% من صفحات الويب التي يتم الوصول إليها الآن عبر بروتوكول نقل النص الفائق الآمن (HTTPS)، وذلك بعد الدفع باتجاه اتصالات الويب الآمنة خلال العقد الماضي.
من جهتها قالت لوري ماكفيتي، المهندسة البارزة لدى F5: "تتحول واجهات برمجة التطبيقات بمرور الوقت إلى العمود الفقري لجهود التحول الرقمي، حيث تربط الخدمات والتطبيقات الحيوية في جميع أرجاء المؤسسات. ولكن تقريرنا أظهر أن العديد من المؤسسات لا تواكب المتطلبات الأمنية اللازمة لحماية هذه الأصول القيّمة، وخاصة في ظل التهديدات الناشئة والمعززة بالذكاء الاصطناعي".
وتتضمن أبرز النتائج التي خَلُص إليها التقرير فى النمو المطرد والبيئات والمتنوعة: تقوم المؤسسة المتوسطة حالياً بإدارة نحو 421 واجهة برمجة تطبيقات معظمها تتم استضافته في بيئات السحابة العامة. وعلى الرغم من هذا النمو، فإن عدداً كبيراً من واجهات برمجة التطبيقات وخاصة تلك المواجهة للعميل، لا زالت بدون حماية.
ايضا تطور استخدامات واجهات برمجة التطبيقات والاحتياجات الأمنية: مع تزايد مستويات الترابط بين واجهات برمجة التطبيقات ومزودي خدمات الذكاء الاصطناعي مثل "أوبن إيه آي" (OpenAI)، فإنه يتوجب على النموذج الأمني التكيف من أجل تغطية الحركة الداخلة والخارجة على واجهات برمجة التطبيقات. وتركز الممارسات الحالية إلى حد كبير على الحركة الداخلة فقط، تاركة بذلك الحركة الخارجة عرضة للتهديدات.
بالاضافة الى المسؤولية المشتتة عن أمن واجهات برمجة التطبيقات: كشف التقرير عن الانقسام في مسؤولية أمن واجهات برمجة التطبيقات ضمن المؤسسات، حيث تقوم 53% من هذه المؤسسات بإدارة أمن واجهات برمجة التطبيقات ضمن إطار أمن التطبيقات، في حيث أن 31% منها تقوم بذلك ضمن إطار منصات إدارة ودمج واجهات برمجة التطبيقات. ويمكن لهذا الانقسام أن يؤدي إلى فجوات في التغطية وتطبيق ممارسات أمنية غير متناسقة بالاضافة الى ارتفاع الطلب على الحلول الأمنية القابلة للبرمجة: قام الذين شملهم الاستطلاع بتصنيف قابلية البرمجة على أنها أكثر قدرات أمن واجهات برمجة التطبيقات قيمة، وأشاروا إلى الحاجة إلى فحوصات واستجابات آنية للحركة على واجهات برمجة التطبيقات والتهديدات المرتبطة بها.
بهدف معالجة هذه الفجوات الأمنية، يوصي التقرير المؤسسات بضرورة اعتماد حلول أمنية شاملة يمكنها تغطية كامل دورة حياة واجهات برمجة التطبيقات بدءاً من التصميم وصولاً إلى مرحلة النشر. و يمكن للمؤسسات من خلال دمج أمن واجهات برمجة التطبيقات في المراحل التطويرية والتشغيلية، حماية أصولها الرقمية على نحو أفضل ضد الطيف المتنامي للتهديدات.
أضافت ماكفيتي: "تعتبر واجهات برمجة التطبيقات جزءاً لا يتجزأ من حقبة الذكاء الاصطناعي، ولكن يجب تأمينها جيداً من أجل ضمان التشغيل الآمن والفعال للذكاء الاصطناعي والخدمات الرقمية. ويقدم التقرير دعوة للمؤسسات إلى اتخاذ خطوات فعلية من أجل إعادة تقييم استراتيجيات أمن واجهات برمجة التطبيقات، والقيام بما يلزم لحماية بياناتها وخدماتها".
وتجدر الإشارة إلى أن النسخة الكاملة من "تقرير استراتيجية حالة التطبيقات 2024: أمن واجهات برمجة التطبيقات" متوافرة للتنزيل لمناقشة التقرير مع المختصين، يمكن زيارة جناح شركة F5 في معرض جيتكس .