Три направления защиты API от Gartner

Три направления защиты API от Gartner
Распространение новых цифровых технологий так или иначе связано с определенными рисками информационной безопасности. Не является исключением и использование API-интерфейсов. Взлом хостинг-провайдера Hostinger, при котором через API-интерфейс утекли даже логины и хеш-суммы паролей, недавняя опасная уязвимость в Uber, когда была возможна даже кража аккаунтов и деанонимизация пассажира/водителя, – вот только несколько публичных случаев, подтверждающих эту мысль.

API как набор технологий обладает определенными уязвимостями. Для эффективного и безопасного использования данных технологий необходимо понимать подходы и способы их минимизации. Эксперты группы компаний Angara приняли участие в мероприятии, организованном компанией Gartner на тему защиты API. В нашем блоге мы приводим основные тезисы.

Особенно часто API-интеграция применяется в микросервисной среде. Развитие экосистем способствует необходимости использования межплатформенных интерфейсов взаимодействия. API уже не является сугубо внутренним интерфейсом, он вышел в глобальную сеть и становится практически обязательным для современного приложения.

Отличаясь от привычного веб-трафика, API-трафик требует отдельной проработки защиты информационной безопасности экспертами организации. И если в компании используются микросервисы, необходимо проанализировать и рассмотреть необходимость защиты API-трафика.

В вопросах защиты API следует прежде всего провести инвентаризацию открытых интерфейсов, причем учитывать как трафик «север-юг», так и «восток-запад», и желательно подключить команду информационной безопасности к процессу проработки API-интерфейсов.
Gartner выделяет три направления защиты API:
  • Тестирование и поиск уязвимостей. Для этого используются технологии Dynamic/Static security testing (DAST/SAST), фаззинг и другие.
  • Контентная защита, включая валидацию легитимности использования (JSON/XML-схемы) и детектирование аномалий, контроль запросов/ответов, сигнатурный и репутационный анализ, использование TLS/SSL и другие.
  • Контроль доступа к API – OAuth 2.0, OpenID, JSON web-токены, интеграции с системами контроля доступа.

Политика защиты должна включать следующие основные функциональные блоки:
  • инвентаризация и вычисление «теневых» API;
  • детектирование нерегулярного или опасного API-трафика и поиск аномалий;
  • аутентификация и авторизация в интерфейсах;
  • валидация запросов и ответов;
  • вычищение критических данных из API ответов, токенизация или маскирование данных;
  • сохранение журнала аудита.

«Важным аспектом защиты API будет защиты от веб-скрепинга или атаки парсинга контента сайта. Атака особенно опасна для B2C-сегмента, где основой ценностного предложения является проведенный анализ спроса клиента и результирующий набор продуктов, несанкционированный анализ которых конкурентом принесет сам по себе бизнес-потери», – комментирует менеджер по развитию бизнеса группы компаний Angara Анна Михайлова. Не говоря уже о прямой краже контента, как это было с ресурсами Trello, Exactis, Pipl, Intel (преждевременный доступ к информации о доходности по итогу финансового года), кражей у Авито объявлений о недвижимости и прочие случаи, добавляет она.

Защиту от атак на API-интерфейсы подобного рода представляют наиболее продвинутые производители:

Эксперты группы компаний Angara осуществляют полный комплекс описанных выше услуг. Наше предложение по созданию системы защиты и мониторинга API-трафика включает консолидацию ключевых требований клиента к защите API, сбор данных, касающихся функционирования и настроек текущих приложения в части API, проектирование и интеграция инструмента защиты в существующую ИТ-инфраструктуру клиента и его тонкая настройка по согласованным ранее требованиям.

Для защиты API-трафика эксперты группы компаний Angara рекомендуют использование решений компаний F5 на базе решения NGINX Controller, а также Fortinet FortiWeb систему.

По всем вопросам по этим и другим услугам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group