API-интерфейсы и веб-сервисы

Веб-безопасность приложений: API как вектор атаки

Кибербезопасность для безопасных интерфейсов программирования приложений

Как закрыть пробелы в безопасности данных в отношении API-интерфейсов

Сегодня более 80% всех атак в интернете задействуют API-интерфейсы, что создает повышенный риск для любой компании или государственного учреждения. По оценкам Gartner, к 2022 году неправомочное использование API-интерфейсов станет наиболее распространенной атакой на бреши в безопасности корпоративных веб-приложений. Проект OWASP (Проект безопасности открытых веб-приложений) недавно опубликовал список 10 самых серьезных угроз безопасности API-интерфейсов. Проект OWASP хорошо известен своим списком 10 основных угроз веб-безопасности приложений и теперь расширил его, включив риски безопасности API-интерфейсов.

API-интерфейсы (программные интерфейсы приложений) существуют уже давно, но в последние годы их использование резко увеличилось. Растущее распространение API-интерфейсов меняет способ обмена данными в интернете. Межмашинное взаимодействие уже имеет приоритет над трафиком данных между людьми и веб-страницами. API-интерфейсы обеспечивают взаимодействие между различными компонентами и системами. Они соединяют машины и программное обеспечение, как кусочки пазла. API-интерфейсы приложений — это компоненты любой архитектуры приложения, например микросервисы, одностраничные приложения (SPA), мобильные приложения, Интернет вещей и т. д.

Пока мы ожидаем, что тенденция к разработке API-интерфейсов сохранится, но при этом также ожидается увеличение количества нарушений веб-безопасности приложений. Они станут более частыми и настолько сложными, что безопасность конкретного API-интерфейса станет более важной, чем когда-либо прежде. API-интерфейсы предоставляют еще больший доступ к логике приложения и гораздо большему количеству информации (включая конфиденциальные данные), как это делают веб-страницы или веб-приложения.

API-интерфейсы приложений для хакеров особенно привлекательны

API-интерфейс приложения является важной точкой входа для атак и утечек данных, поскольку он позволяет получить доступ к приложению третьим лицам. Тот факт, что API-интерфейсы позволяют легко передавать массовые данные, делает их особенно привлекательными для хакеров. Если не уделять внимание веб-безопасности приложений, хакеры могут получить доступ к многочисленным приложениям, которые затем будут скомпрометированы незащищенным интерфейсом. В зависимости от того, как разработчик запрограммировал API-интерфейс, последний может раскрывать внутренние ресурсы данных, внутреннюю архитектуру и даже внутренние приложения на серверах. Быстрая разработка продукта с использованием гибких методов сделала управление жизненным циклом API более сложным, чем когда-либо прежде. ИТ-администраторам приходится управлять все большим количеством API-интерфейсов. Они часто меняются и работают взаимозависимо (иногда незаметно). Хотя для API-интерфейсов появляются все более изощренные методы управления их жизненным циклом, разработчики не применяют их в достаточной степени или они адаптируются только к новым API. Кроме того, у них нет времени на обеспечение тщательной безопасности API-интерфейсов.

Преимущества наших решений для веб-безопасности приложений

  • Выявление уязвимых активов, назначение уязвимостям приоритетов, распределение задач по исправлению
  • Надежная защита межмашинного обмена данными (M2M)
  • Аутентификация агентов веб-сервисов, добавление подписей к сообщениям и шифрование трафика
  • Защита автоматизированных потоков данных
  • Централизованное управление обменом данными для всех веб-приложений и сервисов
  • Служба маршрутизации и аутентификации веб-сервисов
  • Улучшение управления за счет постоянного мониторинга приложений для совместной работы

Если у вас появились вопросы, обратитесь к нам.

Веб-безопасность приложений: брандмауэр веб-приложений как критическая контрольная точка

Поскольку API-интерфейсы приложений являются «самым слабым звеном в цепочке безопасности», они уже недостаточно защищены традиционными механизмами безопасности для приложений. Вам нужна ориентированная на API концепция безопасности, которую необходимо рассматривать в контексте всего цикла разработки API-интерфейса. Защита API-интерфейсов должна сочетаться с другими мерами безопасности в рамках комплексной концепции безопасности для веб-приложений и комплексной концепции безопасности для строгого подхода к оценке рисков.

Если API-интерфейс открыт для доступа из интернета, необходимо учитывать все уязвимые уровни при рассмотрении согласованной веб-безопасности приложения. Необходим последовательный подход:

  • Какой транспортный протокол следует авторизовать?
  • Каким потоком данных следует управлять?
  • Какую аутентификацию можно использовать, чтобы гарантировать, что данные доступны только авторизованным лицам?

Подробнее об этом можно прочитать здесь, в нашем официальном документе:

Брандмауэры веб-приложений для безопасности API-интерфейсов

Брандмауэры веб-приложений (WAF) являются лучшим решением для обеспечения безопасности API-интерфейсов, поскольку они находят правильный баланс между мерами безопасности и удобством использования — они нацелены на блокировку вредоносного трафика, ищущего на серверную часть или другие устройства, такие как шлюз API. Важно, что WAF способен превентивно предотвращать сложные атаки на API. Однако он не заменяет механизм авторизации в среде приложения и не освобождает разработчиков от их обязанности постоянно заниматься безопасностью API и вести себя ответственно.

"По словам пользователей, в настоящее время WAF наиболее успешны в защите от DDoS-атак (64%), безопасности DNS (61%), защите слабых мест в приложениях (55%) и обнаружении аномалий (54%)."
Исследование Ponemon Institute

Защитите свои API-интерфейсы даже в облаке

 R&S®Cloud Protector

Самые распространенные угрозы для API-интерфейсов

Документация по API часто показывает реализацию и внутреннюю структуру интерфейса. Эта информация может быть использована для организации кибератак. Дополнительные недостатки, такие как слабая аутентификация, отсутствие шифрования и небезопасные конечные точки, делают API-интерфейсы уязвимыми для атак.

5 самых серьезных угроз для API-интерфейсов

  • Broken Object Level Authorization (недостатки контроля доступа к объектам)
  • Broken Authentication (недостатки аутентификации)
  • Excessive Data Exposure (разглашение конфиденциальных данных)
  • Lack of Resources & Rate Limiting (отсутствие проверок и ограничений)
  • Broken Function Level Authorization (недостатки контроля доступа на функциональном уровне)

Атаки через посредника

При атаке через посредника (MITM) злоумышленник тайно атакует систему информационного обмена, в том числе сообщения API между двумя сторонами, для получения конфиденциальной информации. Например, злоумышленник может захватить сеансовый идентификатор (токен), которым API обменивается в заголовке HTTP и в браузере пользователя. Если злоумышленник завладеет сеансовым идентификатором, он получит доступ к учетной записи пользователя и, следовательно, к личной информации, такой как данные кредитной карты или данные для входа.

DDoS-атака

При Распределенная атака типа «отказ в обслуживании» (DDoS)множество систем/ботов «наводняют» целевую систему — обычно это один или несколько веб-серверов. DDoS-атака на веб-интерфейс API пытается перегрузить его память и превысить пропускную способность, переполняя его одновременными подключениями или передавая/принимая большие объемы информации в каждом запросе. API-интерфейсы обычно могут обнаруживать и блокировать чрезмерный трафик из одного источника, но они беспомощны против массовых запросов из нескольких мест. Хакеры, использующие DDoS-атаки, обычно проводят эти атаки с множества систем и устройств одновременно.

Если у вас появились вопросы, обратитесь к нам.

Рекомендуемые материалы по веб-безопасности приложений

Вебинар

Обеспечение и реализация кибербезопасности и защиты данных в публичных облаках. На этом веб-семинаре вы узнаете о проблемах безопасности и управления облачными средами в целом и о том, как применить к ним структурированный подход.

Зарегистрироваться

Вебинар: угрозы безопасности для API

В этом вебинаре мы представим 10 наиболее важных угроз безопасности для API и способы защиты от них.

Зарегистрироваться

Официальный документ: Как защитить свои API-интерфейсы

В этом официальном документе вы узнаете, как защитить свои API-интерфейсы с помощью брандмауэра веб-приложений R&S Web Application Firewall.

Зарегистрироваться

Эффективная защита веб-приложений и веб-сайтов

В этой электронной книге вы подробно познакомитесь с новым подходом к безопасности, надежности и защите данных веб-приложений при работе в облаке.

Зарегистрироваться

Часто задаваемые вопросы
Почему важна безопасность в веб-приложениях?

Веб-безопасность приложений важна, потому что киберпреступники используют методы, которые намеренно используют потенциальные уязвимости программного обеспечения веб-приложений — и поэтому не распознаются классическими системами безопасности ИТ, такими как сетевые брандмауэры или системы предотвращения вторжений (IPS). Простые сетевые брандмауэры способны лишь блокировать или разрешать определенные порты TCP или UDP. Атаки на прикладном уровне через протокол передачи гипертекста (HTTP/HTTPS) не распознаются и, следовательно, не могут быть превентивно заблокированы. Кроме того, даже брандмауэров нового поколения недостаточно. Обычно они не действуют как обратный прокси-сервер, поэтому не способны идентифицировать и предотвращать все атаки, особенно нацеленные на приложения, доступные через веб-браузер.

Каковы стратегии защиты веб-приложений?

Вот несколько рекомендаций по повышению безопасности приложений в интернете:

  • Попросите экспертов «атаковать» ваше веб-приложение
  • Следите за блогами по безопасности веб-приложений
  • Делайте регулярные обновления
  • Делайте резервные копии (в том числе, в автономном режиме!)
  • Безопасность и удобство использования неразрывно связаны
  • Всегда используйте SSL-шифрование (HTTPS)
  • Часто проверяйте свой веб-сайт на наличие уязвимостей
  • Начните использовать брандмауэр веб-приложений
Что делать при атаке на API вашего приложения или веб-приложение?

Вот 10 рекомендаций на случай, если веб-приложение или его API подвергаются атаке:

  • Сообщите владельцу приложения
  • Сообщите сотрудникам службы безопасности или группе реагирования на инциденты безопасности (SIRT) об инциденте
  • Удалите пораженные серверы из сети
  • Попробуйте заменить пораженные системы резервными системами
  • Проверьте все сервисы на наличие аномалий, проверьте их текущее рабочее состояние
  • Создайте рабочую группу для более тщательного расследования инцидента
  • По возможности привлеките дополнительных экспертов и консультантов по ИТ-безопасности
  • Проведите криминалистический анализ данных
  • Проведите оценку системы и сетевых протоколов
  • После обнаружения проблемы необходимо устранить выявленную уязвимость
Проводите ежемесячное обновление системы кибербезопасности

Проводите ежемесячное обновление системы кибербезопасности

Запросить информацию

У вас есть вопросы или вам нужна дополнительная информация? Просто заполните эту форму, и мы свяжемся с вами в ближайшее время..

Ваш запрос отправлен. Мы свяжемся с вами в ближайшее время.
An error is occurred, please try it again later.