-->
الصفحة الرئيسية

Smart Mobility لديه نقطة عمياء عندما يتعلق الأمر بأمان API

 


واجهات البرمجة المستخدمة في صناعة السيارات بسبب الانتشار الواسع لخدمات وتطبيقات التنقل الذكي. ومع ذلك ، فإن هذا الاعتماد الشديد على واجهات برمجة التطبيقات جعلها أيضًا هدفًا رئيسيًا للهجمات الإلكترونية. يشير تقرير صادر عن شركة Gartner إلى أن 90٪ من هجمات تطبيقات الويب في قطاع السيارات تحدث من خلال واجهات برمجة التطبيقات. المناطق المعرضة للهجوم.

ليس من غير المتوقع ظهور أنماط مماثلة في عالم النقل الذكي. يكشف التقرير الأخير الصادر عن Upstream Security عن الأمن السيبراني للسيارات والتنقل الذكي أن الحالات المتعلقة بواجهة برمجة التطبيقات في قطاعي السيارات والتنقل الذكي قد ارتفعت بنسبة 380 ٪ في عام 2022 عند مقارنتها بالعام السابق ، 2021. في عام 2022 ، كانت هناك زيادة في النسبة المئوية للحوادث الإلكترونية التي شملت واجهات برمجة التطبيقات ، والتي ارتفعت من 2٪ في عام 2021 إلى 12٪.

اكتشف فريق استخبارات التهديدات في المنبع أن 53٪ من الحوادث المتعلقة بتطبيقات التنقل الذكي والخدمات المتعلقة بها ، والتي تتضمن هجمات على واجهة برمجة التطبيقات ، تم تنفيذها من قبل جهات فاعلة ذات نوايا خبيثة. عواقب هذه الحوادث وخيمة. بصرف النظر عن انتهاكات البيانات والمعلومات الشخصية (PII) ، والتي يمكن أن تؤدي إلى تعطل الخدمات ، هناك أيضًا أنشطة احتيالية تثير مخاوف تتعلق بالثقة ويمكن أن تسبب خسارة في الإيرادات.


تعيد خدمات التنقل القائمة على البيانات تشكيل نماذج إيرادات السيارات التقليدية

تعاني من طفرة في الاتصال. وقد فتح هذا قنوات جديدة لتوليد الإيرادات بناءً على تحليلات البيانات وخدمات المركبات المتصلة التي لم نشهدها من قبل. أتاح دمج التكنولوجيا في المركبات للاعبين الراسخين والناشئين في صناعة السيارات فرصًا مثيرة لاستثمار منتجاتهم وخدماتهم. التكنولوجيا ، مثل تطبيقات الهاتف المحمول ، التي تسهل على المستهلكين الوصول إلى الخدمات والاستمتاع بها. يسمح تحليل البيانات المتقدم للشركات بالحفاظ على المراقبة المستمرة وتنفيذ التغييرات المفيدة. يشير تقرير صادر عن شركة McKinsey إلى أن ما يقرب من ثلث أرباح قطاع السيارات ستأتي من التكنولوجيا التي تعتمد على تحليل البيانات. بحلول عام 2030 ، ستكون هناك خدمات نقل متقدمة تتضمن التكنولوجيا والبيانات ، والمعروفة باسم خدمات التنقل الذكي. لكن،

نتجت الاختناقات المرورية واسعة النطاق عن التلاعب بمعاملات واجهة برمجة التطبيقات.  

دخول المهاجمين. أصبح استخدام واجهات برمجة التطبيقات في الهجمات الإلكترونية أكثر بروزًا ، لا سيما في قطاعي السيارات والتنقل الذكي. وذلك لأن واجهات برمجة التطبيقات سهلة الاستخدام نسبيًا ، مما يجعلها جذابة للباحثين والجهات الفاعلة الخبيثة ذات المعرفة المحدودة بصناعة السيارات. ونتيجة لذلك ، تم تخفيض حاجز دخول المتسللين. من المهم تقليل عدد الجهات المهددة التي يمكنها الوصول إلى النظام. حتى ضعف واحد في واجهة برمجة التطبيقات يمكن أن يكون له عواقب بعيدة المدى على العديد من أساطيل المركبات. حدث مثال صارخ على هذا الخطر واحتمال حدوث دمار في أوروبا خلال منتصف عام 2022 عندما شهد وسط موسكو ازدحامًا مروريًا شديدًا. نجحت خدمة نقل الركاب ، فقد استغلوا ببساطة نقاط ضعفها لإحداث الفوضى والاضطراب. كانت عواقب الهجوم وخيمة لأنه لم يؤثر فقط على قدرة الأفراد على التحرك بحرية ، بل شكل أيضًا تهديدًا للسلامة العامة والبنية التحتية. على الرغم من بساطة الهجوم ، إلا أن تأثيره كان كبيرًا ، مما يبرز أهمية تأمين هذه الخدمات ضد الجهات الخبيثة. كل ما كان مطلوبًا لتشغيل المركبات هو اكتشاف أي نقاط ضعف في واجهة برمجة التطبيقات والاستفادة منها.

WAF ليس (دائمًا) كافيًا: تطوير إطار عمل سياقي لأمان واجهة برمجة التطبيقات للتنقل الذكي

تفويت فرصة اكتشاف الاحتيال وتعطل الخدمة ، مما يؤدي إلى خسارة الإيرادات ويهدد خصوصية كل من المستخدمين والمؤسسات. لذلك ، هناك حاجة إلى إجراءات أمنية متقدمة تلبي الاحتياجات المحددة لخدمات التنقل الذكي. السبب وراء عدم اكتشاف الهجمات المتقدمة التي تؤثر على أصول تطبيقات الأجهزة المحمولة والمستهلكين هو عدم وجود فحص شامل لكيفية تأثير معاملات واجهة برمجة التطبيقات على المركبات قيد الحركة.

لوضع تدابير فعالة للأمن السيبراني في مجال التنقل الذكي ، من الضروري توسيع نطاق التركيز وفحص كيفية تأثير واجهات برمجة التطبيقات على أصول التنقل في العالم الحقيقي مثل المركبات. من أجل تحسين أمان API ، هناك حاجة متزايدة لدمج التكنولوجيا التشغيلية (OT) أيضًا. الهدف هو إنشاء موقف قوي للأمن السيبراني من خلال ربط الحالة السياقية لأصول التنقل بمعاملات حركة مرور واجهة برمجة التطبيقات. يتضمن ذلك الجمع بين التنميط والمراقبة لاكتشاف واجهة برمجة التطبيقات مع التحليل المتعمق لسلوك أصول التنقل ونتائج واجهات برمجة التطبيقات الفردية. يتطلب تأمين أصول OT نهجًا سياقيًا ، مع مراعاة سلوكها الفريد من حيث حالة الإشعال والموقع والسرعة مقارنة بأصول تكنولوجيا المعلومات.

تستخدم شركات التنقل الذكي استراتيجية جديدة لحماية معاملات واجهة برمجة التطبيقات للتنقل الذكي والتي تتضمن أربع مراحل أساسية:

  • ضع خريطة لسطح الهجوم المحتمل
  • مراقبة حركة مرور API باستمرار
  • تطبيق كشف الشذوذ السياقي
  • التخفيف من التهديدات السيبرانية والاستجابة لها

تحديد نقاط الضعف والتهديدات المحتملة التي يمكن استغلالها من خلال واجهة برمجة التطبيقات. لتحقيق ذلك ، تتضمن الخطوة الأولى تقييم سطح الهجوم الذي يتوافق مع واجهات برمجة التطبيقات. يتطلب هذا جرد واجهات برمجة التطبيقات التي تستخدمها تطبيقات الخدمة والأطراف الثالثة من خلال مصادر مثل وثائق Swagger. بالإضافة إلى ذلك ، يعد تحليل حركة مرور ومعاملات واجهة برمجة التطبيقات الحية أمرًا بالغ الأهمية في تحديد نقاط الضعف والتهديدات المحتملة التي يمكن الاستفادة منها من خلال واجهة برمجة التطبيقات. يمكن لجميع أنواع واجهات برمجة التطبيقات ، سواء كانت موثقة أو غير موثقة أو قديمة ولكنها لا تزال نشطة ، أن توفر نقطة دخول ضعيفة للمهاجمين الضارين.

تعزيز تدابير الأمن السيبراني من خلال التقاط أي تعديلات أو استخدام غير لائق لواجهة برمجة التطبيقات من خلال المراقبة المنتظمة. من خلال مراقبة حركة المرور عن كثب ، يصبح توثيق أي تغييرات وتحديد مشكلات الأمان المحتملة أكثر سهولة. من الضروري أيضًا تحديد أولويات المراقبة في الوقت الفعلي وضمان الاستجابة لتعزيز وضع الأمن السيبراني. تعد إدارة حجم وتعقيد هذه الصفقات وتحديد أي حالات شاذة من الحالة القياسية للمورد أمرًا بالغ الأهمية. يتضح أن الأمن السيبراني له أهمية استثنائية عندما يمكن لاستدعاء API الفردي بدء تشغيل محرك السيارة أو توفير معلومات حول مكان وجود السائق.

يمكن تعزيز الأمن. هذا يعني أنه من أجل حماية أصول التنقل الذكي ، من المهم مراقبة حالتها الحالية وأي نشاط غير عادي قد يشير إلى خرق أمني. يمكن أن يؤدي استخدام حالة الأصول جنبًا إلى جنب مع تحليل حركة مرور واجهة برمجة التطبيقات إلى تحسين إجراءات الأمن السيبراني. يتم فحصها عن كثب حيث يمكن أن تكون علامة على هجوم منسق. من خلال فهم السياق والآثار المحتملة لطلبات أو إجراءات معينة ، يمكن للفرق تحديد التهديدات الأمنية ومنعها بشكل أفضل. حتى الإجراءات التي تبدو غير ضارة يمكن أن يكون لها عواقب سلبية إذا لم يتم فحصها بشكل صحيح. لذلك ، من الضروري أن تظل الفرق يقظة وتحلل جميع جوانب أنظمتها لضمان الأمان الأمثل. أي إجراء يثير اشتباهًا فوريًا ويقتضي إجراء تحقيق.

يمكنه تحديد المخاطر والتهديدات المحتملة بدقة في الوقت الفعلي ، وتوفير تدابير أمنية فعالة لمنع أي أنشطة ضارة. يعزز هذا النهج الأمن العام للمركبات المتصلة ، مما يجعله أكثر أمانًا للسائقين والركاب على حدٍ سواء. في الآونة الأخيرة ، طور Upstream Security تحليله لمعاملات API باستخدام توأم رقمي موثوق. هذا التوأم هو إصدار رقمي حالي لحالة الأصل تم إنشاؤه من موجزات البيانات مثل خدمات الاتصالات عن بُعد أو خوادم الواجهة الخلفية من التطبيقات أو المصادر الأخرى. وبالتالي ، يمكن للنظام التعرف على المخاطر والمخاطر المحتملة على الفور ، وتطبيق حلول أمنية فعالة لوقف السلوك الضار. تعمل هذه المنهجية على تحسين السلامة العامة للمركبات المتصلة بالفائدة على كل من السائقين والركاب. توفر المنصة نظرة عامة شاملة على جميع أصول التنقل والمستخدمين المتأثرين. بمساعدة السياق الحصري للمنصة حول حالة الأصل ، يمكن للفرق الإلكترونية الاستجابة بسرعة وكفاءة لأي هجوم تم اكتشافه أو تكوين خاطئ وتقليل التهديدات المحتملة.

أولوية. من خلال اعتماد هذا النهج ، هناك إمكانية لاستخدام مجموعة واسعة من التدابير الأمنية في التنقل الذكي ، مما يضمن إمكانية التنقل في المشهد المتطور باستمرار لتكنولوجيا النقل بأمان وكفاءة. مع التطورات الجديدة التي تظهر باستمرار ، ستظل مواكبة أمان واجهة برمجة التطبيقات مصدر قلق أساسي في الصناعة. الصعوبة الأولى التي يجب التغلب عليها.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة