Защита API корпоративных приложений
Антон Чемякин рассказал главное о защите API и актуальных угрозах
02.12.2024
| CISOCLUB
Использование API (Application Programming Interface) корпоративными приложениями стало неотъемлемой частью современной ИТ-инфраструктуры. API обеспечивают интеграцию различных систем, обмен данными и масштабирование бизнес-процессов. Однако, с увеличением их роли в корпоративной среде возрастает и уровень угроз, связанных с кибератаками, направленными на уязвимости интерфейсов. Защита API является ключевым элементом обеспечения безопасности корпоративных систем.
Редакция CISOCLUB поговорила с экспертами на эту тему, спросив о наиболее актуальных угрозах для защиты API корпоративных приложений, современных подходах к предотвращению атак, использовании Zero Trust, методах аутентификации и авторизации, о том, как выстроить процессы проектирования, мониторинга и тестирования API для минимизации рисков и повышения эффективности работы. Эксперты ответили и на множество других вопросов. Ниже мы представили ответы Антона Чемякина, руководителя аналитического отдела Servicepipe.
Какие угрозы наиболее актуальны для защиты API корпоративных приложений сегодня, и как они эволюционируют в условиях меняющегося ландшафта киберугроз?
Говоря об угрозах, создаваемых злоумышленниками для API мобильных приложений, следует исходить главным образом из того, какую информацию эти API могут предоставить, и, реже, какие сервисы эти API позволяют активировать.
Главным образом ботоводы-злоумышленники собирают монетизируемую информацию – цены и характеристики товаров в обход и, зачастую, во вред бизнес-логике, заложенной владельцем сервиса. Это может быть и иная информация, представляющая коммерческий интерес – адреса и названия организаций, персональные данные пользователей. Зачастую эксплуатируется информация о различных программах лояльности сервиса – бонусы, скидки, промокоды. Происходят попытки получения доступа к учётным записям пользователей и сопряженные с этим кражи паролей.
Порой API позволяют бронировать товары – в эти случаях злоумышленником может создаваться дополнительная нагрузка на логистическую инфраструктуру онлайн-магазинов. Заметной проблемой является SMS-бомбинг: ботовод мало того, что отправляет сотни тысяч SMS за счёт бюджета организации, так еще и попутно портит репутацию организации, от имени которой пользователям атакуемой жертвы сыпется спам.
API, будучи одной из точек входа сервиса, может стать причиной DDoS-атаки, при этом, если нет валидации входных параметров, – весьма чувствительной.
Ну, и стоящие несколько особняком проблемы с «забытой автоматизацией» (Shadow/Zombie API) – когда устаревшие, неэффективные, ставшие слишком ресурсоемкими “забытые” методы годами “дёргают” свои или партнерские сервисы.
Какие инструменты стоит применять для обеспечения безопасности API, и насколько они эффективны в предотвращении конкретных типов атак?
Более 80% веб-трафика сегодня — это вызовы API, и этот трафик также насыщен ботами.
Первое, что приходит на ум — учёт всех доступных методов API и продуманная валидациях всех параметров запросов. Если говорить о внешних средствах защиты API сегодня — это анализ логов, API-шлюз, WAF и Антибот-системы.
Многие поставщики веб-защиты предлагают в качестве механизма выявления ботов JS-челлендж (если агенты поддерживают JS), который работает только для веб-сайтов и прерывает работу приложения на стороне пользователя. API-шлюз умеет защищать лишь на уровне аутентификации/авторизации и с помощью грубых рейт-лимитов.
Важным нюансом также является неспособность многих решений защищать API без раскрытия приватного ключа SSL, что довольно важно для компаний, обрабатывающих платежи на бэкенде. Реализовать защиту API (в том числе API мобильных приложений), можно с помощью гибридной схемы внедрения защиты с установкой модуля NGINX в контур инфраструктуры заказчика. Гибридная модель подходит для защиты систем, в которых присутствуют разнородные службы и сервисы. Как работает гибридная защита: параллельно с перенаправлением трафика через облачную платформу фильтрации внутри инфраструктуры размещаются локальные компоненты фильтрующей платформы.
Неплохо справляются с защитой API решения класса WAF, которые распознают фейковые/модифицированные приложения, используемые для проведения атак на бизнес-логику. Большинство угроз — из эталонного списка OWASP API Security Top 10. Но есть и другая часть — новые угрозы (zero-day) – например, Zombie/Shadow/Orphan API, SMS-бомбинг и ATO-атаки (Credential stuffing). Работающим на базе сигнатурного анализа фаерволам веб-приложений не всегда по зубам угрозы нулевого дня.
Как выстраивать процессы контроля и мониторинга API в режиме реального времени, чтобы своевременно обнаруживать инциденты?
Основные подходы мониторинга API существенно не отличаются от мониторинга любых сервисов, в которые обращаются пользователи и/или легитимная автоматизация. Если стоит задача собственными силами «поднять» анализ трафика, следует чётко разделять эти 2 вида активности и ответить на вопрос: возможен ли каждый из них при обращении к API? Для анализа нужно организовать логирование, как минимум временные метки запросов, вызываемых методов, IP-адресов (и по возможности его производных – подсетей и т.д.), user-agent. Но чем больше информации будет собрано, тем лучше.
Человеческая активность, как правило, выглядит как плавные временные ряды, подчиняющиеся суточным и недельным колебаниям. Количество вызываемых методов как правило пропорционально в каждый момент времени, равно как и разбивка по версиям агентов. Трафик идет преимущественно из подсетей всех крупных провайдеров. Если в плавной человеческой активности наблюдается скачок/отсутствие пропорциональности, он должен иметь объяснение, например — реакция клиентов на маркетинговую активность. Сами по себе скачки трафика — резкий прирост/падение трафика легко описываются математически.
Если бизнес-логика предполагает, что в API может обращаться автоматизация, то требуется дать ответ на вопрос: Это закрытое API, в которое могут обращаться лишь получившие авторизационный токен партнеры, либо открытое API, куда может обращаться любой пользователь? В обоих случаях следует дать ответ на вопрос: Каковы границы легитимной автоматизации? Как минимум – сколько запросов в сутки/час/минуту может отправлять легитимная автоматизация. Возможно, существуют ограничение на количество и/или тип вызываемых методов. Эту активность так же следует логировать, обсчитывать и мониторить.
Базовый мониторинг API следует настроить в любом случае. Как минимум он даст ответ на вопрос – есть ли проблемы или нет. А если возникнет необходимость борьбы с нелегитимной активностью, но результатов базового мониторинга окажется недостаточно, можно поискать на рынке готовые решения с продвинутым функционалом.
Полная версия статьи: https://cisoclub.ru/zashhita-api-korporativnyh-prilozhenij/
Изображение: Freepik
CISOCLUB
Информационный портал и проф. сообщество