Новость
По итогам первого квартала 2026 года 68% организаций не имеют полного и точного представления о количестве API (программных интерфейсов, обеспечивающих взаимодействие между приложениями) в собственной инфраструктуре. Это на 15 процентных пунктов больше, чем за аналогичный период прошлого года. К такому выводу пришли эксперты «Кросстеха». В числе основных причин они называют активное развитие микросервисной архитектуры, рост числа подрядчиков и партнеров, а также повсеместное использование облачных сервисов.
Какие именно API чаще всего выпадают из поля зрения ИТ- и ИБ-подразделений? Это, во-первых, старые версии интерфейсов, которые когда-то не отключили и со временем просто забыли о них. Во-вторых, тестовые API, по ошибке оставшиеся в рабочей (продакшн) среде. В-третьих, интерфейсы, автоматически сгенерированные микросервисами. И наконец, API, оставшиеся после давно закрытых проектов.
Отдельную головную боль доставляет так называемый «теневой ИТ»: отдельные команды внутри компании без ведома централизованной ИБ-службы подключают SaaS-решения, создают собственные интеграции и разворачивают облачные сервисы. В результате возникает параллельная, но связанная с основной инфраструктура, которую никто не контролирует. API в таких связках становятся потенциальными точками входа для злоумышленников.
«Контроль над API сегодня становится все более важной задачей, злоумышленники все чаще используют их для атак на инфраструктуру, эксфильтрации данных и так далее. При этом контролировать их становится сложнее, в крупных компаниях количество API за год может увеличиться в десятки и сотни раз. Обнаружение неподконтрольных связок и "теневых" API, их инвентаризация, своевременное отключение неиспользуемых интерфейсов и регулярная проверка безопасности становятся необходимыми мерами для снижения рисков», – сказала Анастасия Мельникова, руководитель департамента оценки защищенности «Кросстеха».
Чаще всего с отсутствием полной картины по API сталкиваются компании, у которых много цифровых сервисов, развитые мобильные приложения и большое число интеграций. В зоне риска, по данным «Кросстеха», находятся финансовый сектор, маркетплейсы и компании электронной коммерции, телекоммуникационная отрасль и медицинские организации.
Чтобы решить проблему, эксперты рекомендуют компаниям в первую очередь провести полную инвентаризацию API и составить подробную карту всех интерфейсов, а затем выстроить процесс регулярной актуализации этих данных. Для первых двух задач эффективны внешний и внутренний анализ защищенности, изучение кода и существующей документации. Регулярное обновление карты API — процесс более сложный. Он требует внедрения постоянного мониторинга, назначения ответственных за каждый интерфейс, жесткой фиксации появления новых API и своевременного отключения неиспользуемых. Ключевая задача здесь, подчеркивают в «Кросстехе», — научить сотрудников работать по новым правилам и донести до них важность внимательного отношения к API.