Контакты
Подписка 2025

Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах

Редакция журнала "Информационная безопасность", 18/11/24

Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.

ris1-Nov-18-2024-07-52-25-7679-AM

Эксперты:

  • Динко Димитров, руководитель продуктового развития, “Вебмониторэкс"
  • Сергей Одинцов, системный аналитик, “Вебмониторэкс"
  • Лев Палей, директор по информационной безопасности, “Вебмониторэкс"
  • Лука Сафонов, группа компаний “Гарда"
  • Александр Чикайло, ведущий специалист группы экспертизы защиты приложений, Positive Technologies

Какой набор средств защиты поможет обеспечить защиту от различных типов атак на API?

Лука Сафонов, группа компаний "Гарда":

Ключевую роль в обеспечении безопасности API играют средства мониторинга. Они позволяют отслеживать и анализировать все действия, происходящие с API, выявляя аномалии и потенциальные угрозы. Например, мониторинг может выявить подозрительные запросы, высокую частоту обращений с одного IP-адреса, необычные географические паттерны или аномальную структуру запросов. Кроме того, средства мониторинга могут отправлять оповещения администраторам для своевременного реагирования на инциденты.

Второй компонент – это WAF или WAAP, которые предназначены для фильтрации трафика и защиты API от различных угроз на уровне веб-приложений. WAF анализирует входящие и исходящие запросы, блокируя потенциально вредоносные запросы, которые могут содержать, например, SQL-инъекции, XSS, попытки внедрения команд и другие типы угроз. WAAP идет еще дальше, предоставляя более специализированную защиту для API, включая защиту от DoS-/DDoS-атак, защиту от утечек данных и управление аутентификацией запросов.

Александр Чикайло, Positive Technologies:

Первая линия защиты API это средства класса WAAP, которые включают в себя:

  • Покрытие OWASP TOP 10.
  • Покрытие OWASP TOP API risks.
  • DDoS-protection.
  • Bot protection.
  • Rate limit.
  • Virtual patching.
  • Machine Learning для выявления аномалий.
  • Интеграция с сервисами IP-reputation.

Помимо этого необходимо использовать веб-ориентированные фаззеры, в том числе и на основе схемы Open API, и проводить регулярные пентесты.

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

По сути, для детектирования атак может быть выбрана позитивная модель, негативная или их комбинация. Негативная модель направлена на блокировку атак, позитивная – на формирование жесткого конструкта "не пройдет все, что не по правилам". По первой модели функционирует решение WAF Вебмониторэкс, для реализации второй подойдут валидаторы схем (в нашем случае – "ПроAPI Защита"). Но для того, чтобы сформировать корректные правила для позитивной модели, нужно детально разобрать структуру API и выяснить, какие уязвимости и недостатки в ней присутствуют. В этом помогут решения типа DAST и визуализация API.

Можно ли бесшовно интегрировать API-безопасность в процессы CI/CD?

Лев Палей, Вебмониторэкс:

Можно и нужно! На этапах дизайна и тестирования нужно смотреть, насколько автосформированная документация API отличается от ушедшей на предпрод. В момент тестирования необходимо учитывать информацию об уязвимостях и недостатках API, а при определенной зрелости – и делать отчеты о таких недостатках блокерами для процесса выпуска API. К моменту перевода в промышленную эксплуатацию нужно контролировать, что все работает, как спланировали. Другой вопрос – как обеспечить такое встраивание? Ответ: через API, позволяющий активировать нужные функции вызовом из платформы CI/CD.

Лука Сафонов, группа компаний "Гарда":

Интеграция API-безопасности в процессы CI/CD не только возможна, но и крайне важна. Для этого необходимо выстроить оптимальный CI-/CD-пайплайн, в который будут интегрированы автоматизированные проверки безопасности API. Это можно сделать, добавив этапы тестирования безопасности, такие как статический и динамический анализ кода, проверка уязвимостей и автоматизированные тесты API на устойчивость к атакам. Важной частью является интеграция SAST, DAST и инструментов для автоматизированного сканирования уязвимостей в API на этапе сборки и деплоя.

Важно также, чтобы API-безопасность была проверяема на каждом этапе пайплайна. Это делается с помощью автоматического запуска тестов безопасности при каждом изменении кода или перед выпуском новой версии. В дополнение к автоматическим проверкам следует внедрять политику код-ревью с фокусом на безопасность и проводить регулярные пентесты API.

Александр Чикайло, Positive Technologies:

Для обеспечения безопасности API в процессе CI/CD нужно использовать классический AppSec-подход – Shift Left. На уровне CI/CD можно внедрить средства для обнаружения секретов в коде, поиск Security Misconfiguration, сбора и валидации OpenAPI-схемы, а также использовать SAST- и DAST-инструменты и формировать виртуальные патчи.

Какие меры необходимы предпринимать, чтобы WAAP не замедлял работу API? Как обеспечить защиту API в условиях повышенного трафика и DDoS-атак?

Александр Чикайло, Positive Technologies:

Точечная настройка WAAP позволит минимизировать процент False Positive и снизить нагрузку на саму систему. Важно грамотно формировать политику безопасности, исключая широкие настройки по принципу "проверить все и везде". Стоит также разделять приложения и распределять нагрузку на разные ядра, поды, агенты. Нет смысла использовать приоритизацию правил, проверять весь запрос, если адрес клиента не проходит по IP-Reputation.

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

Необходимо выбирать тот продукт, в котором вы разбираетесь и знаете его сильные и слабые стороны. Основываться следует на технических показателях, а не маркетинговых обещаниях. Это позволит максимально эффективно использовать данное решение для защиты ваших API.

Лука Сафонов, группа компаний "Гарда":

Для того чтобы WAAP не замедлял работу API, необходимо, чтобы в нем применялись продуманные подходы к выявлению аномальной и автоматизированной активности. Один из ключевых методов – это интеллектуальная фильтрация трафика, которая позволяет отличать легитимные запросы от подозрительных. Использование машинного обучения помогает WAAP динамически адаптироваться к нормальному поведению пользователей и оперативно блокировать аномальные запросы, минимизируя задержки для легитимных клиентов.

Для защиты API в условиях DDoS-атак важно комбинировать автоматические механизмы защиты с масштабируемыми инфраструктурными решениями. WAAP может быть настроен на использование различных техник, таких как распределение трафика, Rate Limiting и CAPTCHA для проверки подозрительных пользователей. Важно также предусмотреть возможность горизонтального масштабирования инфраструктуры, чтобы API мог выдерживать высокий трафик, распределяя нагрузку между несколькими серверами.

Топ-3 рекомендаций, как минимизировать ложные срабатывания и повысить точность работы WAAP?

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

  1. Поддерживать контакт с вендором (через техподдержку) для обеспечения корректной установки и настройки решения и его модулей.
  2. Настроить процесс проверки качества работы продукта и его дообучения на реальном трафике.
  3. Использовать режим мониторинга при первоначальной настройке решения, что позволить обнаружить потенциальные ложные срабатывания и блокировки, а также исключить их соответствующей настройкой.

Лука Сафонов, группа компаний "Гарда":

  1. Использовать кастомизированный набор правил, адаптированный под специфику веб-приложений и API. Например, если в API используются специфические форматы данных или методы, следует настроить WAAP так, чтобы он понимал, что эти параметры не являются аномальными или вредоносными.
  2. Учитывать среду развертывания и контекст использования веб-приложений. В разных окружениях (например, тестовом, продакшн или корпоративном) WAAP должен работать с учетом особенностей трафика и требований безопасности. Например, в корпоративной среде могут быть активированы дополнительные уровни защиты, учитывающие требования безопасности данных, а в публичных приложениях – более гибкие настройки для обеспечения доступности и производительности.
  3. Регулярно обновлять и оптимизировать правила на основе анализа реального трафика и поведения пользователей.

Александр Чикайло, Positive Technologies:

  1. Определить используемый технологический стек, что поможет выбрать оптимальный набор правил, проверяемых параметров и защитных механизмов. Например, если используется только Java, то нет смысла использовать специфичные для PHP правила.
  2. Выделить период адаптации, во время которого WAAP будет находиться в режиме Detect Only для последующего анализа сработок.
  3. Провести точечную настройку правил и механизмов WAAP.

Какие актуальные вызовы, связанные с защитой API, вы прогнозируете на ближайшие 2–3 года?

Лука Сафонов, группа компаний "Гарда":

В ближайшие 2–3 года одной из ключевых проблем станет увеличение сложности и мощности DoS-/DDoS-атак. Злоумышленники становятся все более изобретательными, применяя распределенные атаки с использованием ботнетов и разнообразных техник, таких как мультивекторные атаки, которые комбинируют разные типы угроз для создания максимальной нагрузки на инфраструктуру. Атаки будут становиться более точечными и масштабируемыми, нацеливаясь не только на перегрузку серверов, но и на эксплуатацию уязвимостей API.

Другой важный вызов – новые средства парсинга контента, которые могут использоваться злоумышленниками для обхода систем безопасности. Современные API обрабатывают огромные объемы данных, и новые инструменты могут позволить атакующим лучше анализировать эти данные, находить уязвимости и обходить правила защиты. В будущем мы можем увидеть появление более сложных методов анализа трафика, которые будут помогать киберпреступникам осуществлять целевые атаки, основанные на контенте запросов и ответов API.

Динко Димитров, Лев Палей, Вебмониторэкс:

  1. Основные вызовы будут связаны с ростом количества API и их проникновением в инфраструктуру. Уже сейчас становится актуальной защита микросервисов, которые также коммуницируют по API. Потребуется инструмент для наблюдения за API в разных участках инфраструктуры.
  2. В связи с ростом API-инфраструктуры и увеличением ее важности, будет повышаться необходимость ее более глубокого анализа с целью выявления конечных точек API, подверженных высоким рискам, таким как недокументированные, забытые, призрачные API.

Александр Чикайло, Positive Technologies:

В ближайшие годы мы увидим развитие LLM-моделей, что затруднит дефект ботов, которые их используют. Компаниям-разработчикам ИБ-средств придется переосмыслить методы защиты от ботов, а в частности CAPTCHA-механизмы. Отрасль также ждет увеличение количества атак на API, поскольку растет процент использования API и распространение подхода API-First. Увеличение числа таких приложений приведет также к росту числа Shadow API.

Темы:Круглый столAPIWAFЖурнал "Информационная безопасность" №4, 2024WAAP

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Как и зачем меняется PAM?
    PAM меняется вместе с инфраструктурой, рисками и ожиданиями бизнеса. Речь уже не просто о контроле привилегий, а о полноценном элементе архитектуры доверия. Редакция журнала “Информационная безопасность” спросила у экспертов, какие функции в PAM сегодня можно считать прорывными, как решаются задачи масштабирования и что помогает выявлять слепые зоны.
  • Слепые зоны реагирования в АСУ ТП
    Классические подходы к реагированию, заимствованные из ИТ-среды, не работают в условиях АСУ ТП: запрет на патчинг, устаревшие устройства, разрывы между сегментами, отсутствие логирования и централизованного мониторинга создают критические слепые зоны.
  • Один бюджет, один приоритет: как вложиться в безопасность контейнеров?
    Что делать, если есть только один бюджет, а направлений – десятки? Спросили у экспертов: во что стоит инвестировать в 2025 г., если выбирать придется только одно направление – рантайм, цепочка поставок, харденинг или что-то еще?
  • Почему Shift Left не работает в контейнерах?
    DevSecOps-инструменты зрелы, автоматизация доступна, сканеры интегрируются в CI/CD – но 70–75% контейнерных образов по-прежнему содержат уязвимости высокого уровня. Что мешает реальному "сдвигу влево"? Мы собрали мнения инженеров и ИБ-специалистов, чтобы разобраться: где именно срывается безопасность – в культуре, инфраструктуре или ожиданиях.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...