Prévu pour coïncider avec la conférence annuelle sur la cybersécurité RSA, google Cloud a annoncé des mises à jour d’Apigee, son service de gestion d’API et d’analyse prédictive, conçu pour aider à prévenir les attaques de logique métier.
Les attaques de logique métier sont des failles dans la conception et la mise en œuvre d’une application qui permettent à des acteurs malveillants de provoquer un comportement involontaire. Ils peuvent être difficiles à identifier – et très répandus. Selon un étude commandé par Silver Tail Systems, 90 % des entreprises ont perdu des revenus en raison d’attaques de logique métier entre 2011 et 2012.
Pour lutter contre ces types d’exploits, Google introduit de nouveaux modèles d’apprentissage automatique dans Apigee qui, selon lui, ont été formés pour détecter les attaques potentielles de logique métier. Google Cloud affirme que les modèles – disponibles pour tous les clients Apigee Advanced API Security et formés sur les données internes de Google – sont suffisamment sensibles pour détecter un comportement subtil comme un attaquant avec le contrôle d’un serveur modifiant les « modèles d’activité » dudit serveur.
« Les modèles d’apprentissage automatique qui alimentent la détection des abus d’API ont été formés et utilisés par les équipes internes de Google pour protéger nos API destinées au public », a déclaré Shelly Hershkovitz, chef de produit chez Google Cloud, dans un article de blog. « Les modèles s’appuient sur des années d’apprentissage et sur les meilleures pratiques. »
Parallèlement aux modèles, Apigee introduit des tableaux de bord qui identifient apparemment plus précisément les abus d’API en trouvant des modèles dans le grand nombre d’alertes. Les tableaux de bord tentent de « capturer l’essence » des attaques, comme le dit Hershkovitz, ainsi que des caractéristiques importantes telles que la source des attaques, le nombre d’appels d’API et la durée des attaques.
« Avec la croissance du trafic des API, les entreprises du monde entier connaissent également une augmentation des attaques d’API malveillantes, faisant de la sécurité des API une priorité accrue », a poursuivi Hershkovitz. « Nous facilitons et accélérons la détection des incidents d’abus d’API. »
Crédits image : Apigee
Pour Hershkovitz, il est vrai que les préoccupations concernant la sécurité des API ont augmenté – et continuent de croître – dans l’entreprise. Selon Selon une enquête (bien que menée par un fournisseur de sécurité API, en toute transparence), la fin de 2022 a vu un pic majeur d’attaques API, avec une augmentation de 400 % du volume par rapport à quelques mois auparavant.
Ces attaques peuvent être coûteuses. Une imperva analyse sur près de 117 000 incidents de sécurité ont révélé que l’insécurité des API coûte aux entreprises entre 41 et 75 milliards de dollars par an. Et un séparé rapport de l’Open Worldwide Application Security Project suggère que les petites entreprises sont confrontées au plus grand nombre d’événements de sécurité des API, la plupart des incidents affectant les entreprises avec moins de 50 millions de dollars de chiffre d’affaires, ce qui rend chaque violation encore plus préjudiciable au résultat net.
propre à Google recherche — qui doit être pris avec des pincettes — montre que 50 % des organisations ont connu un incident de sécurité API au cours des 12 derniers mois ; parmi eux, 77 % ont retardé le déploiement d’un nouveau service ou d’une nouvelle application.
« Il est essentiel que les organisations détectent et atténuent les incidents d’abus d’API tôt pour éviter des dommages fiscaux et de réputation prolongés à l’entreprise », a déclaré Hershkovitz. « Les incidents de sécurité des API sont de plus en plus courants et perturbateurs. »
