Blog News
« تهدیدات جدید علیه APIها »
« تهدیدات جدید علیه APIها »
حسب بررسیهای به عمل آمده، در سال ٢٠٢٢ میلادی، 47.4 درصد از ترافیک اینترنت، مربوط به بات ها بوده است. در این بازه زمانی، ترافیک انسانی به عدد 52.6 درصد رسیده است که پایینترین میزان طی 8 سال اخیر میباشد . لازم به ذکر است فعالیت بات های مخرب، ریسکهای بزرگی برای کسب و کارها در پی دارند که از جمله آن ها میتوان به سرقت داده ها، نفوذ به حساب ها، هزینههای بالای زیرساختی و پشتیبانی و... اشاره داشت. در همین رابطه اعلام شده که هر ساله میلیاردها دلار در نتیجه حملات خودکار علیه وبسایت ها، زیرساخت، API ها و نرم افزارهای مورد استفاده سازمان ها، از بین میرود.
طی سالهای ٢٠٢٠ و ٢٠٢١ میلادی، بات ها به پاندمی اینترنت تبدیل شدند و اثرات مخربی بر برنامههای واکسینه سازی علیه کووید ١٩ گذاشتند. پیش بینی شده است طی ١٠ سال آینده، مهاجمان سایبری تمرکز خود را معطوف به حملات علیه API Endpoint ها خواهند نمود و زیان های مالی و اختلالات ایجاد شده در کسب و کارها که ناشی از بدبات ها هستند، به میزان قابل توجهی افزایش خواهند یافت. در سال ٢٠٢٢، سهم بدبات های پیشرفته، به ٢.٥١ درصد از کل ترافیک بدبات ها رسیده بود؛ در مقایسه با میزان پیچیدگی بدبات ها در سال ٢٠٢١، این عدد در سال ٢٠٢٢ به میزان ٩. ٢٥ درصد بوده است.
این اعداد، نشانگر یک روند نگران کننده برای کسب و کارها میباشد چرا که بدبات ها از آخرین تکنیکهای Evasion استفاده میکنند و با دقت زیادی، رفتارهای انسان را تقلید می کنند تا از این طریق، از کشف شدن خودداری نمایند که این اتفاق، به واسطه استفاده از IP های تصادفی، ورود از طریق پروکسیهای ناشناس، و تغییر هویت رخ میدهد. حسب گزارش منتشر شده، ١٥ درصد از تمامی تلاش های ورود به حساب طی ١٢ ماه گذشته و در تمامی صنایع، به عنوان ATO یا حملات در اختیار گرفتن کنترل حساب، شناسایی شده اند. مهاجمان سایبری از بدبات ها برای تسهیل حملات Brute Force و نیز حملات Credential Stuffing استفاده مینمایند. در سال ٢٠٢٢، ١٧ درصد از کل حملات انجام شده علیه APIها، از طریق بدبات ها انجام شده است که این حملات با سوءاستفاده از منطق کسب و کار یا business logic انجام شده اند.
گفتنی است در حملات Business Logic، از آسیبپذیریهای موجود در طراحی و پیاده سازی یک API یا نرم افزار، با هدف دستکاری و تغییر عملکردهای قانونی نرم افزار یا API مربوطه برای سرقت اطلاعات حساس و یا به دست آوردن دسترسی غیرقانونی به حساب ها، استفاده میشود. علاوه بر این، ٣٥ درصد از حملات ATO در سال ٢٠٢٢، به صورت مشخص، یک API را هدف قرار داده اند. در سال گذشته میلادی، بخشهای قانون گذار و دولتی، شاهد افزایش چشمگیر حملات بدبات ها بوده اند؛ در کل میتوان گفت که بدبات ها در حال تبدیل شدن به مشکلی جدی برای تمامی صنایع هستند. شایان ذکر است از هر پنج بدبات، یکی از آنها، از تنظیمات مرورگرهای موبایلی استفاده نموده است.
در همین رابطه، باید به این نکته اشاره داشت که استفاده از مرورگرهای بهروز، قابلیتهایی را در حوزه حریم شخصی کاربران ارائه میدهند که منجر به پیچیده تر شدن رفتار بدبات ها میشوند و این موضوع، کار سازمان ها برای شناسایی و متوقفسازی ترافیک خودکار را دشوار میسازد . حسب بررسی به عمل آمده، تمامی سازمان ها فارغ از نوع صنعت و یا اندازه سازمان، باید در خصوص افزایش حجم فعالیت بدبات ها در اینترنت، نگران باشند. سالانه حجم ترافیک بدبات ها در حال افزایش بوده و اختلالات به وجود آمده به واسطه خودکارسازیهای مخرب، منجر به ریسکهای قابل توجهی برای کسب و کارها از جمله مشکلات مربوط به اعتبار برند، کاهش فروش آنلاین، تهدیدات امنیت اپلیکیشنهای مبتنی بر وب، نرم افزارهای موبایلی و نیز API ها شده است. ضروری است که کسب و کارها از هماکنون اقدامات لازم را به عمل آورده و در حوزه مدیریت بات ها و پیشگیری آنلاین که قادر به شناسایی و متوقف سازی خودکارسازیهای پیچیده ای که APIها و منطق کسب و کاری نرم افزار را هدف قرار میدهند، سرمایهگذاری نمایند.