СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Servicepipe
Вчера в 12:01
#Отчеты #Dev#ИБ#ИИ

Лаборатория Servicepipe выявила — каждый четвертый вредоносный запрос к API приходится на забытые интерфейсы

Лаборатория Servicepipe выявила 8212 каждый четвертый вредоносный запрос к API приходится на забытые интерфейсы

Изображение: recraft

Компания Servicepipe, российский разработчик решений для анализа и фильтрации нежелательного трафика, установила, что в 2025 году до 25% вредоносного API-трафика приходилось на shadow и forgotten API — устаревшие, тестовые или забытые интерфейсы, которые продолжают работать, но выпали из поля зрения службы кибербезопасности. Детальное исследование охватило трафик 500 приложений.

«Активное применение ИИ в разработке API усиливает проблему, — указывает директор по продуктам Servicepipe Михаил Хлебунов. — Команды генерируют с его помощью всё больше кода, в том числе API, о которых потом просто забывают”. Дополнительным фактором риска для API-приложений, которые развиваются много лет, остаётся legacy code, то есть старый код, который перешёл в текущий проект “по наследству” от предыдущих разработчиков, — продолжил эксперт. В нём сложно разбираться и сложно поддерживать в рабочем состоянии. Наиболее критичным этот фактор становится для компаний, в которых слабо обеспечена информационная безопасность, резюмировал Михаил Хлебунов.

Ситуацию осложняет сокращение цикла обновления приложений: если раньше они выходили максимум раз в месяц, то теперь обновления могут выпускаться раз в несколько дней.

«Бизнес получает нужную функциональность в установленный срок, но порой это достигается за счет компромиссов в обеспечении информационной безопасности, так как в итоге непротестированные API уходят в работу, — указывает Михаил Хлебунов. — Кроме того, забытый API, как правило, означает, что он не задокументирован или его документация давно устарела».

Забытые API могут предоставлять непредусмотренный доступ к данным или функциям систем, создавая бэкдоры. Именно через них атакующие обходят базовые средства защиты, действуя под легитимными учётными данными и оставаясь незаметными для классических средств защиты WAF и SIEM. Особенно опасны уязвимости типа BOLA и IDOR, когда злоумышленник может получить доступ к чужим данным, изменив номер счёта или ID пользователя в запросе.

«В 2026 году ключевой задачей для бизнеса станет не только защита “боевых” API, но и полное картирование всей API-поверхности, включая забытые, теневые и автоматически создаваемые интерфейсы, особенно в средах с AI-агентами и сложной интеграционной логикой, — указал Михаил Хлебунов. — Бизнесу необходимо уже сейчас задуматься о внедрении процессов мониторинга и инвентаризации API, использовать решения для выявления неиспользуемых интерфейсов, а также обучать команды разработчиков и DevOps отслеживать старые интерфейсы и реагировать на их уязвимости».

Servicepipe
Автор: Servicepipe
Servicepipe — это российский разработчик технологий анализа и фильтрации нежелательного трафика. Компания работает на рынке информационной безопасности с 2015 года. На базе собственных технологий Servicepipe создаёт продукты высокоточной защиты от любых DDoS-атак и продвинутых ботов. Продукты Servicepipe помогают обеспечить доступность сайта или корпоративного сервиса во время кибератак, а также выстроить эшелонированную защиту IT-инфраструктуры или веб-приложений, непреодолимую для злоумышленников. Для оценки устойчивости IT-систем к DDoS-атакам Servicepipe проводит аудиты безопасности и стресс-тестирования. Среди клиентов компании — крупнейшие российские облачные и интернет-провайдеры, банки, дата-центры, телеком-операторы, сервисы доставки, авиакомпании, интернет-магазины, онлайн-кинотеатры, СМИ и платёжные системы
Комментарии: