جنریٹیو ڈیٹا انٹیلی جنس

تمام نقصان دہ حملوں کا 30% سے زیادہ ہدف شیڈو APIs

تاریخ:

سنی ویل، کیلیفورنیا - اکتوبر 4، 2022 - سیکوینس سیکیورٹییونیفائیڈ API پروٹیکشن کے سرکردہ فراہم کنندہ نے آج اپنی پہلی ششماہی 2022 کی رپورٹ جاری کی جس کا عنوان ہے “API پروٹیکشن رپورٹ: شیڈو APIs اور API کے غلط استعمال کا دھماکہ۔نتائج میں سب سے اہم تقریباً 5 بلین (31%) بدنیتی پر مبنی ٹرانزیکشنز تھے جن کو نامعلوم، غیر منظم اور غیر محفوظ APIs کا نشانہ بنایا گیا، جسے عام طور پر شیڈو APIs کہا جاتا ہے، جس سے یہ صنعت کو چیلنج کرنے والا سب سے بڑا خطرہ ہے۔

"حقیقت یہ ہے کہ ہم روزمرہ کی آسائشوں سے لطف اندوز ہوتے ہیں کیونکہ صارفین جیسے کہ رائڈ شیئرنگ اور فوڈ ڈیلیوری سروسز APIs پر بنائی گئی ہیں،" امیہ تلوالکر، سی ای او اور بانی، سیکوینس سیکیورٹی نے کہا۔ "ہماری تحقیق سے پتا چلا ہے کہ کمپنیاں صارفین کے تجربات کو بہتر بنانے کے جدید طریقے ان کی سلامتی، کسٹمر کے اعتماد اور بالآخر ان کی نچلی لائن کے لیے سب سے بڑا خطرہ ہیں۔ ان کمپنیوں کو API تحفظ کے ساتھ شروع کرتے ہوئے ان کی حفاظتی حکمت عملی میں ترجیحات پر نظر ثانی کرنی چاہیے۔

سی کیو پرائم تھریٹ ریسرچ ٹیم کے ذریعہ تیار کردہ، رپورٹ 20 کی پہلی ششماہی کے دوران مشاہدہ کیے گئے 2022 بلین سے زیادہ API ٹرانزیکشنز کے تجزیہ پر مبنی ہے اور یہ آج کی تنظیموں کو سرفہرست API خطرات کو اجاگر کرنے کی کوشش کرتی ہے۔

سب سے بڑا خطرہ #1: شیڈو APIs 5 بلین نقصان دہ درخواستوں کے ساتھ ہٹ

5 بلین بدنیتی پر مبنی درخواستوں میں سے تقریباً 31 بلین (16.7%) ہدف شدہ نامعلوم، غیر منظم اور غیر محفوظ APIs، جنہیں عام طور پر شیڈو APIs کہا جاتا ہے، وسیع پیمانے پر استعمال کے کیسز پر محیط ہے۔ انتہائی والیومیٹرک اسنیکر بوٹس سے لے کر جدید ترین ڈنکس یا ائیر جارڈنز کو پکڑنے کی کوشش کرنے والے چپکے سے حملہ آوروں تک چوری شدہ کریڈٹ کارڈز پر کارڈ ٹیسٹنگ فراڈ کی سست رفتاری سے خالص بروٹ فورس کریڈینشل اسٹفنگ مہم تک۔ شاپنگ بوٹ اور گفٹ کارڈ کے حملوں کے پیش خیمہ کے طور پر اعلیٰ حجم والے مواد کی سکریپنگ کے ذریعے کارفرما، اپریل 2022 میں شیڈو APIs پر حملوں میں اضافہ ہوا اور سال بھر میں حجم میں اضافہ ہوتا رہا۔

سب سے اوپر خطرہ #2: API کا غلط استعمال

سی کیو پرائم تھریٹ ریسرچ ٹیم کے ذریعے بلاک کیے گئے 3.6 بلین حملوں کی بنیاد پر، 2022 کی پہلی ششماہی کے دوران دوسرا سب سے بڑا API سیکیورٹی خطرہ API کا غلط استعمال تھا، یعنی حملہ آور مناسب طریقے سے کوڈ شدہ اور انوینٹری شدہ APIs کو نشانہ بناتے ہیں۔ یہ تلاش صنعت کی معیاری فہرستوں جیسے OWASP کو نقطہ آغاز کے طور پر استعمال کرنے کی ضرورت پر روشنی ڈالتی ہے، نہ کہ اختتامی مقصد کے طور پر۔ سب سے زیادہ روکے گئے حملے حملہ آوروں کے استعمال کی حکمت عملیوں کی نشاندہی کرتے ہیں۔ ان میں شامل ہیں:

  • 3 بلین شاپنگ بوٹس جوتے یا لگژری اشیاء کو نشانہ بناتے ہیں۔
  • 290 ملین گفٹ کارڈ چیکنگ کے حملے
  • مشہور ڈیٹنگ اور شاپنگ ایپلی کیشنز پر تقریباً 237 ملین جعلی اکاؤنٹس بنانے کی کوشش

سب سے بڑا خطرہ #3: دی ناپاک تثلیث: کریڈینشل اسٹفنگ، شیڈو APIs اور حساس ڈیٹا ایکسپوژر

100 ملین حملوں کی بنیاد پر، API2 (بروکن یوزر کی توثیق)، API3 (زیادہ ڈیٹا ایکسپوژر) اور API9 (غیر مناسب اثاثوں کا انتظام) کا مشترکہ استعمال دو چیزوں کی نشاندہی کرتا ہے: حملہ آور تفصیلی تجزیہ کر رہے ہیں کہ ہر API کیسے کام کرتا ہے، وہ ہر ایک کے ساتھ کیسے تعامل کرتے ہیں۔ دوسرے، اور متوقع نتائج اور ڈویلپرز کو API کوڈنگ کے بہترین طریقوں کی پیروی میں ہمیشہ چوکنا رہنے کی ضرورت ہے۔

اکاؤنٹ ٹیک اوور میں تخفیف $193 ملین کی بچت کرتی ہے۔

اکاؤنٹ ٹیک اوور (ATO) کی مسلسل مقبولیت کو اجاگر کرتے ہوئے، CQ Prime Threat Research ٹیم نے صارفین کو تقریباً 1.17 بلین نقصان دہ اکاؤنٹ لاگ ان درخواستوں کو کم کرنے میں مدد کی – یہ سب APIs کے خلاف ہیں۔ ATOs کی مقبولیت کو براہ راست ان کی استعداد سے جوڑا جا سکتا ہے، جسے اکاؤنٹ لاگ ان کے لیے APIs کو اپنانے سے بڑھایا گیا ہے اور اس رپورٹ میں دکھایا گیا ہے۔ مزید اہم بات یہ ہے کہ کاروبار پر ATO کا اثر بہت اہم ہے، ہر واقعہ کی قیمت $290 سے مختلف ہوتی ہے۔جونیئر ریسرچ) اور تقریباً 9 گھنٹے کا تفتیشی کام $311 (فیڈرل ٹریڈ کمیشن) تک۔ تخفیف کی کوششوں نے تقریباً 11.7 ملین اکاؤنٹس کو محفوظ کیا جو تمام صارفین کے لیے $193 ملین کی بچت کے برابر ہے۔

"ہمارے تجزیے اور نتائج جنگل میں ہونے والے حقیقی حملوں پر مبنی ہیں،" ولیم گلیزیئر، سیکوینس سیکیورٹی میں تھریٹ ریسرچ کے ڈائریکٹر نے کہا۔ "ہماری تلاشیں آئی ٹی اور سیکیورٹی لیڈروں کی اہمیت کو واضح کرتی ہیں جو اس بات کی مکمل تفہیم رکھتے ہیں کہ کس طرح صحیح طریقے سے کوڈ شدہ APIs کے ساتھ ساتھ ان پر بھی حملہ کیا جا سکتا ہے جن میں خامیاں ہیں۔ صرف 20 بلین کے نمونے کے سائز کا مطلب ہے کہ اس بات کا بہت زیادہ امکان ہے کہ تمام صنعتوں کے کاروباری ادارے اس قسم کے خطرات سے متاثر ہوں۔

رپورٹ میں ان حکمت عملیوں، تکنیکوں اور طریقہ کاروں (TTPs) کو سمجھنے کی اہمیت پر روشنی ڈالی گئی ہے جو حملہ آور خطرات سے فائدہ اٹھانے کے لیے استعمال کرتے ہیں اور حملہ آور مزاحمت پر کیسے ردعمل ظاہر کرتے ہیں۔ اس کا مطلب یہ ہے کہ نہ صرف اس بات کو یقینی بنانا کہ APIs OWASP API سیکورٹی ٹاپ 10 کے لیے ایک نقطہ آغاز کے طور پر حساس نہیں ہیں بلکہ یہ بھی دیکھتے ہیں کہ API10+ کے طور پر کیا تعریف کی جا سکتی ہے، ایک ایسا زمرہ جس میں بہت سے مختلف طریقوں کو شامل کیا گیا ہے جن سے بالکل کوڈ شدہ API کا غلط استعمال کیا جا سکتا ہے۔

لوڈ رپورٹ کے مکمل نتائج.

دیکھیں Infographic.

سیکونس کے بارے میں

سیکوینس سیکیورٹی، یونیفائیڈ API پروٹیکشن کا علمبردار، واحد حل ہے جو API کی دریافت، انوینٹری سے باخبر رہنے، خطرے کے تجزیے اور مقامی تخفیف کو ثابت شدہ، حقیقی وقت کے خطرے کے تحفظ کے ساتھ ہمیشہ تیار ہوتے API حملوں کے خلاف متحد کرتا ہے۔ سیکوئنس سیکیورٹی ایک دن میں 6 بلین سے زیادہ API کالز کو محفوظ کرتی ہے اور ہمارے Fortune 2 صارفین کے 500 بلین سے زیادہ صارف اکاؤنٹس کی حفاظت کرتی ہے۔ ہمارے صارفین ہم پر بھروسہ کرتے ہیں کہ وہ اپنے APIs اور ویب ایپلیکیشنز کو آن لائن فراڈ، کاروباری منطق کے حملوں، کارناموں اور غیر ارادی ڈیٹا کے لیکیج کے خلاف انتہائی موثر اور موافق دفاع کے ساتھ تحفظ فراہم کریں، جو انہیں آج کے بدلتے کاروبار اور خطرے کے منظر نامے میں لچکدار رہنے کے قابل بناتا ہے۔ پر مزید جانیں۔ www.cequence.ai

اسپاٹ_مگ

تازہ ترین انٹیلی جنس

اسپاٹ_مگ

ہمارے ساتھ بات چیت

ہیلو وہاں! میں آپ کی کیسے مدد کر سکتا ہوں؟