Контакты
Подписка 2025
Статьи по информационной безопасности

Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах

Редакция журнала "Информационная безопасность", 18/11/24

Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.

ris1-Nov-18-2024-07-52-25-7679-AM

Эксперты:

  • Динко Димитров, руководитель продуктового развития, “Вебмониторэкс"
  • Сергей Одинцов, системный аналитик, “Вебмониторэкс"
  • Лев Палей, директор по информационной безопасности, “Вебмониторэкс"
  • Лука Сафонов, группа компаний “Гарда"
  • Александр Чикайло, ведущий специалист группы экспертизы защиты приложений, Positive Technologies

Какой набор средств защиты поможет обеспечить защиту от различных типов атак на API?

Лука Сафонов, группа компаний "Гарда":

Ключевую роль в обеспечении безопасности API играют средства мониторинга. Они позволяют отслеживать и анализировать все действия, происходящие с API, выявляя аномалии и потенциальные угрозы. Например, мониторинг может выявить подозрительные запросы, высокую частоту обращений с одного IP-адреса, необычные географические паттерны или аномальную структуру запросов. Кроме того, средства мониторинга могут отправлять оповещения администраторам для своевременного реагирования на инциденты.

Второй компонент – это WAF или WAAP, которые предназначены для фильтрации трафика и защиты API от различных угроз на уровне веб-приложений. WAF анализирует входящие и исходящие запросы, блокируя потенциально вредоносные запросы, которые могут содержать, например, SQL-инъекции, XSS, попытки внедрения команд и другие типы угроз. WAAP идет еще дальше, предоставляя более специализированную защиту для API, включая защиту от DoS-/DDoS-атак, защиту от утечек данных и управление аутентификацией запросов.

Александр Чикайло, Positive Technologies:

Первая линия защиты API это средства класса WAAP, которые включают в себя:

  • Покрытие OWASP TOP 10.
  • Покрытие OWASP TOP API risks.
  • DDoS-protection.
  • Bot protection.
  • Rate limit.
  • Virtual patching.
  • Machine Learning для выявления аномалий.
  • Интеграция с сервисами IP-reputation.

Помимо этого необходимо использовать веб-ориентированные фаззеры, в том числе и на основе схемы Open API, и проводить регулярные пентесты.

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

По сути, для детектирования атак может быть выбрана позитивная модель, негативная или их комбинация. Негативная модель направлена на блокировку атак, позитивная – на формирование жесткого конструкта "не пройдет все, что не по правилам". По первой модели функционирует решение WAF Вебмониторэкс, для реализации второй подойдут валидаторы схем (в нашем случае – "ПроAPI Защита"). Но для того, чтобы сформировать корректные правила для позитивной модели, нужно детально разобрать структуру API и выяснить, какие уязвимости и недостатки в ней присутствуют. В этом помогут решения типа DAST и визуализация API.

Можно ли бесшовно интегрировать API-безопасность в процессы CI/CD?

Лев Палей, Вебмониторэкс:

Можно и нужно! На этапах дизайна и тестирования нужно смотреть, насколько автосформированная документация API отличается от ушедшей на предпрод. В момент тестирования необходимо учитывать информацию об уязвимостях и недостатках API, а при определенной зрелости – и делать отчеты о таких недостатках блокерами для процесса выпуска API. К моменту перевода в промышленную эксплуатацию нужно контролировать, что все работает, как спланировали. Другой вопрос – как обеспечить такое встраивание? Ответ: через API, позволяющий активировать нужные функции вызовом из платформы CI/CD.

Лука Сафонов, группа компаний "Гарда":

Интеграция API-безопасности в процессы CI/CD не только возможна, но и крайне важна. Для этого необходимо выстроить оптимальный CI-/CD-пайплайн, в который будут интегрированы автоматизированные проверки безопасности API. Это можно сделать, добавив этапы тестирования безопасности, такие как статический и динамический анализ кода, проверка уязвимостей и автоматизированные тесты API на устойчивость к атакам. Важной частью является интеграция SAST, DAST и инструментов для автоматизированного сканирования уязвимостей в API на этапе сборки и деплоя.

Важно также, чтобы API-безопасность была проверяема на каждом этапе пайплайна. Это делается с помощью автоматического запуска тестов безопасности при каждом изменении кода или перед выпуском новой версии. В дополнение к автоматическим проверкам следует внедрять политику код-ревью с фокусом на безопасность и проводить регулярные пентесты API.

Александр Чикайло, Positive Technologies:

Для обеспечения безопасности API в процессе CI/CD нужно использовать классический AppSec-подход – Shift Left. На уровне CI/CD можно внедрить средства для обнаружения секретов в коде, поиск Security Misconfiguration, сбора и валидации OpenAPI-схемы, а также использовать SAST- и DAST-инструменты и формировать виртуальные патчи.

Какие меры необходимы предпринимать, чтобы WAAP не замедлял работу API? Как обеспечить защиту API в условиях повышенного трафика и DDoS-атак?

Александр Чикайло, Positive Technologies:

Точечная настройка WAAP позволит минимизировать процент False Positive и снизить нагрузку на саму систему. Важно грамотно формировать политику безопасности, исключая широкие настройки по принципу "проверить все и везде". Стоит также разделять приложения и распределять нагрузку на разные ядра, поды, агенты. Нет смысла использовать приоритизацию правил, проверять весь запрос, если адрес клиента не проходит по IP-Reputation.

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

Необходимо выбирать тот продукт, в котором вы разбираетесь и знаете его сильные и слабые стороны. Основываться следует на технических показателях, а не маркетинговых обещаниях. Это позволит максимально эффективно использовать данное решение для защиты ваших API.

Лука Сафонов, группа компаний "Гарда":

Для того чтобы WAAP не замедлял работу API, необходимо, чтобы в нем применялись продуманные подходы к выявлению аномальной и автоматизированной активности. Один из ключевых методов – это интеллектуальная фильтрация трафика, которая позволяет отличать легитимные запросы от подозрительных. Использование машинного обучения помогает WAAP динамически адаптироваться к нормальному поведению пользователей и оперативно блокировать аномальные запросы, минимизируя задержки для легитимных клиентов.

Для защиты API в условиях DDoS-атак важно комбинировать автоматические механизмы защиты с масштабируемыми инфраструктурными решениями. WAAP может быть настроен на использование различных техник, таких как распределение трафика, Rate Limiting и CAPTCHA для проверки подозрительных пользователей. Важно также предусмотреть возможность горизонтального масштабирования инфраструктуры, чтобы API мог выдерживать высокий трафик, распределяя нагрузку между несколькими серверами.

Топ-3 рекомендаций, как минимизировать ложные срабатывания и повысить точность работы WAAP?

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

  1. Поддерживать контакт с вендором (через техподдержку) для обеспечения корректной установки и настройки решения и его модулей.
  2. Настроить процесс проверки качества работы продукта и его дообучения на реальном трафике.
  3. Использовать режим мониторинга при первоначальной настройке решения, что позволить обнаружить потенциальные ложные срабатывания и блокировки, а также исключить их соответствующей настройкой.

Лука Сафонов, группа компаний "Гарда":

  1. Использовать кастомизированный набор правил, адаптированный под специфику веб-приложений и API. Например, если в API используются специфические форматы данных или методы, следует настроить WAAP так, чтобы он понимал, что эти параметры не являются аномальными или вредоносными.
  2. Учитывать среду развертывания и контекст использования веб-приложений. В разных окружениях (например, тестовом, продакшн или корпоративном) WAAP должен работать с учетом особенностей трафика и требований безопасности. Например, в корпоративной среде могут быть активированы дополнительные уровни защиты, учитывающие требования безопасности данных, а в публичных приложениях – более гибкие настройки для обеспечения доступности и производительности.
  3. Регулярно обновлять и оптимизировать правила на основе анализа реального трафика и поведения пользователей.

Александр Чикайло, Positive Technologies:

  1. Определить используемый технологический стек, что поможет выбрать оптимальный набор правил, проверяемых параметров и защитных механизмов. Например, если используется только Java, то нет смысла использовать специфичные для PHP правила.
  2. Выделить период адаптации, во время которого WAAP будет находиться в режиме Detect Only для последующего анализа сработок.
  3. Провести точечную настройку правил и механизмов WAAP.

Какие актуальные вызовы, связанные с защитой API, вы прогнозируете на ближайшие 2–3 года?

Лука Сафонов, группа компаний "Гарда":

В ближайшие 2–3 года одной из ключевых проблем станет увеличение сложности и мощности DoS-/DDoS-атак. Злоумышленники становятся все более изобретательными, применяя распределенные атаки с использованием ботнетов и разнообразных техник, таких как мультивекторные атаки, которые комбинируют разные типы угроз для создания максимальной нагрузки на инфраструктуру. Атаки будут становиться более точечными и масштабируемыми, нацеливаясь не только на перегрузку серверов, но и на эксплуатацию уязвимостей API.

Другой важный вызов – новые средства парсинга контента, которые могут использоваться злоумышленниками для обхода систем безопасности. Современные API обрабатывают огромные объемы данных, и новые инструменты могут позволить атакующим лучше анализировать эти данные, находить уязвимости и обходить правила защиты. В будущем мы можем увидеть появление более сложных методов анализа трафика, которые будут помогать киберпреступникам осуществлять целевые атаки, основанные на контенте запросов и ответов API.

Динко Димитров, Лев Палей, Вебмониторэкс:

  1. Основные вызовы будут связаны с ростом количества API и их проникновением в инфраструктуру. Уже сейчас становится актуальной защита микросервисов, которые также коммуницируют по API. Потребуется инструмент для наблюдения за API в разных участках инфраструктуры.
  2. В связи с ростом API-инфраструктуры и увеличением ее важности, будет повышаться необходимость ее более глубокого анализа с целью выявления конечных точек API, подверженных высоким рискам, таким как недокументированные, забытые, призрачные API.

Александр Чикайло, Positive Technologies:

В ближайшие годы мы увидим развитие LLM-моделей, что затруднит дефект ботов, которые их используют. Компаниям-разработчикам ИБ-средств придется переосмыслить методы защиты от ботов, а в частности CAPTCHA-механизмы. Отрасль также ждет увеличение количества атак на API, поскольку растет процент использования API и распространение подхода API-First. Увеличение числа таких приложений приведет также к росту числа Shadow API.
Темы:Круглый столAPIWAFЖурнал "Информационная безопасность" №4, 2024WAAP

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Защита API – это не просто WAF и блокировки
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Еще в 2021 г. аналитики Gartner предсказывали, что атаки на API станут самым частым вектором взлома веб-приложений. Этот прогноз сбылся – за последние годы произошел ряд резонансных утечек данных через уязвимости API. По исследованиям, практически 99% организаций столкнулись с проблемами безопасности API за последние 12 месяцев.
  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"