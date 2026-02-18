Интеграция
Цифровая трансформация в нестабильное время — пять полезных лайфхаков
Российский бизнес активно движется по пути цифровой трансформации
Компания Servicepipe, российский разработчик решений для анализа и фильтрации нежелательного трафика, установила, что в 2025 г. до 25% вредоносного API-трафика приходилось на shadow и forgotten API — устаревшие, тестовые или забытые интерфейсы, которые продолжают работать, но выпали из поля зрения службы кибербезопасности. Детальное исследование охватило трафик 500 приложений.

«Активное применение ИИ в разработке API усиливает проблему, — сказал директор по продуктам Servicepipe Михаил Хлебунов. — Команды генерируют с его помощью всё больше кода, в том числе API, о которых потом просто забывают. Дополнительным фактором риска для API-приложений, которые развиваются много лет, остаётся legacy code, то есть старый код, который перешёл в текущий проект «по наследству» от предыдущих разработчиков. В нём сложно разбираться и сложно поддерживать в рабочем состоянии. Наиболее критичным этот фактор становится для компаний, в которых слабо обеспечена информационная безопасность».

Ситуацию осложняет сокращение цикла обновления приложений: если раньше они выходили максимум раз в месяц, то теперь обновления могут выпускаться раз в несколько дней.

«Бизнес получает нужную функциональность в установленный срок, но порой это достигается за счет компромиссов в обеспечении информационной безопасности, так как в итоге непротестированные API уходят в работу, — сказал Михаил Хлебунов. — Кроме того, забытый API, как правило, означает, что он не задокументирован или его документация давно устарела».

Забытые API могут предоставлять непредусмотренный доступ к данным или функциям систем, создавая бэкдоры. Именно через них атакующие обходят базовые средства защиты, действуя под легитимными учётными данными и оставаясь незаметными для классических средств защиты WAF и SIEM. Особенно опасны уязвимости типа BOLA и IDOR, когда злоумышленник может получить доступ к чужим данным, изменив номер счёта или ID пользователя в запросе.

«В 2026 г. ключевой задачей для бизнеса станет не только защита «боевых» API, но и полное картирование всей API-поверхности, включая забытые, теневые и автоматически создаваемые интерфейсы, особенно в средах с AI-агентами и сложной интеграционной логикой, — сказалМихаил Хлебунов. — Бизнесу необходимо уже сейчас задуматься о внедрении процессов мониторинга и инвентаризации API, использовать решения для выявления неиспользуемых интерфейсов, а также обучать команды разработчиков и DevOps отслеживать старые интерфейсы и реагировать на их уязвимости».

