Распространение новых цифровых технологий так или иначе связано с определенными рисками информационной безопасности. Не является исключением и использование API-интерфейсов. Взлом хостинг-провайдера Hostinger, при котором через API-интерфейс утекли даже логины и хеш-суммы паролей, недавняя опасная уязвимость в Uber, когда была возможна даже кража аккаунтов и деанонимизация пассажира/водителя, – вот только несколько публичных случаев, подтверждающих эту мысль.
API как набор технологий обладает определенными уязвимостями. Для эффективного и безопасного использования данных технологий необходимо понимать подходы и способы их минимизации. Эксперты группы компаний Angara приняли участие в мероприятии, организованном компанией Gartner на тему защиты API. В нашем блоге мы приводим основные тезисы.
Особенно часто API-интеграция применяется в микросервисной среде. Развитие экосистем способствует необходимости использования межплатформенных интерфейсов взаимодействия. API уже не является сугубо внутренним интерфейсом, он вышел в глобальную сеть и становится практически обязательным для современного приложения.
Отличаясь от привычного веб-трафика, API-трафик требует отдельной проработки защиты информационной безопасности экспертами организации. И если в компании используются микросервисы, необходимо проанализировать и рассмотреть необходимость защиты API-трафика.
В вопросах защиты API следует прежде всего провести инвентаризацию открытых интерфейсов, причем учитывать как трафик «север-юг», так и «восток-запад», и желательно подключить команду информационной безопасности к процессу проработки API-интерфейсов.
Gartner выделяет три направления защиты API: - Тестирование и поиск уязвимостей. Для этого используются технологии Dynamic/Static security testing (DAST/SAST), фаззинг и другие.
- Контентная защита, включая валидацию легитимности использования (JSON/XML-схемы) и детектирование аномалий, контроль запросов/ответов, сигнатурный и репутационный анализ, использование TLS/SSL и другие.
- Контроль доступа к API – OAuth 2.0, OpenID, JSON web-токены, интеграции с системами контроля доступа.
Политика защиты должна включать следующие основные функциональные блоки:
- инвентаризация и вычисление «теневых» API;
- детектирование нерегулярного или опасного API-трафика и поиск аномалий;
- аутентификация и авторизация в интерфейсах;
- валидация запросов и ответов;
- вычищение критических данных из API ответов, токенизация или маскирование данных;
- сохранение журнала аудита.
«Важным аспектом защиты API будет защиты от веб-скрепинга или атаки парсинга контента сайта. Атака особенно опасна для B2C-сегмента, где основой ценностного предложения является проведенный анализ спроса клиента и результирующий набор продуктов, несанкционированный анализ которых конкурентом принесет сам по себе бизнес-потери», – комментирует менеджер по развитию бизнеса группы компаний Angara Анна Михайлова. Не говоря уже о прямой краже контента, как это было с ресурсами Trello, Exactis, Pipl, Intel (преждевременный доступ к информации о доходности по итогу финансового года), кражей у Авито объявлений о недвижимости и прочие случаи, добавляет она.
Защиту от атак на API-интерфейсы подобного рода представляют наиболее продвинутые производители:
Эксперты группы компаний Angara осуществляют полный комплекс описанных выше услуг. по созданию системы защиты и мониторинга API-трафика включает консолидацию ключевых требований клиента к защите API, сбор данных, касающихся функционирования и настроек текущих приложения в части API, проектирование и интеграция инструмента защиты в существующую ИТ-инфраструктуру клиента и его тонкая настройка по согласованным ранее требованиям.
Для защиты API-трафика эксперты группы компаний Angara рекомендуют использование решений компаний F5 на базе решения NGINX Controller, а также Fortinet FortiWeb систему.
По всем вопросам по этим и другим услугам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.
