68% компаний не имеют полного представления о количество API в своей инфраструктуре по итогам I квартала 2026 г. Это на 15 п.п. больше, чем за аналогичный период 2025 г. API (application programming interface) – это набор правил, протоколов и инструментов, позволяющих ПО взаимодействовать друг с другом, передавать данные и использовать функционал. Эксперты «Кросстеха» указывают, что на эту ситуацию влияют развитие микросервисов, увеличение числа подрядчиков, партнеров и облачных сервисов.

Основная доля API, которые оказываются скрыты от внимания ИТ и ИБ-департаментов компаний, – это старые версии, которые временно не отключали, а потом забыли, тестовые API, которые остались в продакшне, автоматически созданные API микросервисов, а также те, которые остались после закрытия проектов.

Специалисты интегратора также выделяют другую важную проблему – API теневого ИТ, когда отдельные команды подключают SaaS, создают собственные интеграции, разворачивают облачные сервисы. В этом случае появляется параллельно существующая и неподконтрольная ИБ-команде инфраструктура, которая связана с основной, и API здесь могут стать потенциальной точкой входа.

«Контроль над API сегодня становится все более важной задачей, злоумышленники все чаще используют их для атак на инфраструктуру, эксфильтрации данных и так далее. При этом контролировать их становится сложнее, в крупных компаниях количество API за год может увеличиться в десятки и сотни раз. Обнаружение неподконтрольных связок и «теневых» API, их инвентаризация, своевременное отключение неиспользуемых интерфейсов и регулярная проверка безопасности становятся необходимыми мерами для снижения рисков», – сказала Анастасия Мельникова, руководитель департамента оценки защищенности «Кросстеха».

Чаще всего с отсутствием полной картины API сталкиваются компании, у которых много цифровых сервисов, большое количество интеграций, развитые мобильные приложения. К ним относятся финансовый сектор, маркетплейсы и электронная коммерция, телеком, медицина, подчеркивают специалисты «Кросстеха».

Для преодоления этой проблемы компаниям необходимо: провести инвентаризацию API, составить их полную карту, а также выстроить процесс ее регулярной актуализации. Для первых двух задач эффективным инструментами будет внешний и внутренний анализ защищенности, анализ кода и изучением существующей документации. Регулярная актуализация – более сложный процесс, который требует внедрения постоянного мониторинга, назначения ответственных за каждый API, строгую фиксацию новых и отключение ненужных в обозначенные сроки. Ключевая задача здесь, отмечают эксперты «Кросстеха», обучить сотрудников работать по новым правилам и продемонстрировать важность внимательной работы с API.

Короткая ссылка