Контакты
Подписка 2025

Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах

Редакция журнала "Информационная безопасность", 18/11/24

Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.

ris1-Nov-18-2024-07-52-25-7679-AM

Эксперты:

  • Динко Димитров, руководитель продуктового развития, “Вебмониторэкс"
  • Сергей Одинцов, системный аналитик, “Вебмониторэкс"
  • Лев Палей, директор по информационной безопасности, “Вебмониторэкс"
  • Лука Сафонов, группа компаний “Гарда"
  • Александр Чикайло, ведущий специалист группы экспертизы защиты приложений, Positive Technologies

Какой набор средств защиты поможет обеспечить защиту от различных типов атак на API?

Лука Сафонов, группа компаний "Гарда":

Ключевую роль в обеспечении безопасности API играют средства мониторинга. Они позволяют отслеживать и анализировать все действия, происходящие с API, выявляя аномалии и потенциальные угрозы. Например, мониторинг может выявить подозрительные запросы, высокую частоту обращений с одного IP-адреса, необычные географические паттерны или аномальную структуру запросов. Кроме того, средства мониторинга могут отправлять оповещения администраторам для своевременного реагирования на инциденты.

Второй компонент – это WAF или WAAP, которые предназначены для фильтрации трафика и защиты API от различных угроз на уровне веб-приложений. WAF анализирует входящие и исходящие запросы, блокируя потенциально вредоносные запросы, которые могут содержать, например, SQL-инъекции, XSS, попытки внедрения команд и другие типы угроз. WAAP идет еще дальше, предоставляя более специализированную защиту для API, включая защиту от DoS-/DDoS-атак, защиту от утечек данных и управление аутентификацией запросов.

Александр Чикайло, Positive Technologies:

Первая линия защиты API это средства класса WAAP, которые включают в себя:

  • Покрытие OWASP TOP 10.
  • Покрытие OWASP TOP API risks.
  • DDoS-protection.
  • Bot protection.
  • Rate limit.
  • Virtual patching.
  • Machine Learning для выявления аномалий.
  • Интеграция с сервисами IP-reputation.

Помимо этого необходимо использовать веб-ориентированные фаззеры, в том числе и на основе схемы Open API, и проводить регулярные пентесты.

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

По сути, для детектирования атак может быть выбрана позитивная модель, негативная или их комбинация. Негативная модель направлена на блокировку атак, позитивная – на формирование жесткого конструкта "не пройдет все, что не по правилам". По первой модели функционирует решение WAF Вебмониторэкс, для реализации второй подойдут валидаторы схем (в нашем случае – "ПроAPI Защита"). Но для того, чтобы сформировать корректные правила для позитивной модели, нужно детально разобрать структуру API и выяснить, какие уязвимости и недостатки в ней присутствуют. В этом помогут решения типа DAST и визуализация API.

Можно ли бесшовно интегрировать API-безопасность в процессы CI/CD?

Лев Палей, Вебмониторэкс:

Можно и нужно! На этапах дизайна и тестирования нужно смотреть, насколько автосформированная документация API отличается от ушедшей на предпрод. В момент тестирования необходимо учитывать информацию об уязвимостях и недостатках API, а при определенной зрелости – и делать отчеты о таких недостатках блокерами для процесса выпуска API. К моменту перевода в промышленную эксплуатацию нужно контролировать, что все работает, как спланировали. Другой вопрос – как обеспечить такое встраивание? Ответ: через API, позволяющий активировать нужные функции вызовом из платформы CI/CD.

Лука Сафонов, группа компаний "Гарда":

Интеграция API-безопасности в процессы CI/CD не только возможна, но и крайне важна. Для этого необходимо выстроить оптимальный CI-/CD-пайплайн, в который будут интегрированы автоматизированные проверки безопасности API. Это можно сделать, добавив этапы тестирования безопасности, такие как статический и динамический анализ кода, проверка уязвимостей и автоматизированные тесты API на устойчивость к атакам. Важной частью является интеграция SAST, DAST и инструментов для автоматизированного сканирования уязвимостей в API на этапе сборки и деплоя.

Важно также, чтобы API-безопасность была проверяема на каждом этапе пайплайна. Это делается с помощью автоматического запуска тестов безопасности при каждом изменении кода или перед выпуском новой версии. В дополнение к автоматическим проверкам следует внедрять политику код-ревью с фокусом на безопасность и проводить регулярные пентесты API.

Александр Чикайло, Positive Technologies:

Для обеспечения безопасности API в процессе CI/CD нужно использовать классический AppSec-подход – Shift Left. На уровне CI/CD можно внедрить средства для обнаружения секретов в коде, поиск Security Misconfiguration, сбора и валидации OpenAPI-схемы, а также использовать SAST- и DAST-инструменты и формировать виртуальные патчи.

Какие меры необходимы предпринимать, чтобы WAAP не замедлял работу API? Как обеспечить защиту API в условиях повышенного трафика и DDoS-атак?

Александр Чикайло, Positive Technologies:

Точечная настройка WAAP позволит минимизировать процент False Positive и снизить нагрузку на саму систему. Важно грамотно формировать политику безопасности, исключая широкие настройки по принципу "проверить все и везде". Стоит также разделять приложения и распределять нагрузку на разные ядра, поды, агенты. Нет смысла использовать приоритизацию правил, проверять весь запрос, если адрес клиента не проходит по IP-Reputation.

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

Необходимо выбирать тот продукт, в котором вы разбираетесь и знаете его сильные и слабые стороны. Основываться следует на технических показателях, а не маркетинговых обещаниях. Это позволит максимально эффективно использовать данное решение для защиты ваших API.

Лука Сафонов, группа компаний "Гарда":

Для того чтобы WAAP не замедлял работу API, необходимо, чтобы в нем применялись продуманные подходы к выявлению аномальной и автоматизированной активности. Один из ключевых методов – это интеллектуальная фильтрация трафика, которая позволяет отличать легитимные запросы от подозрительных. Использование машинного обучения помогает WAAP динамически адаптироваться к нормальному поведению пользователей и оперативно блокировать аномальные запросы, минимизируя задержки для легитимных клиентов.

Для защиты API в условиях DDoS-атак важно комбинировать автоматические механизмы защиты с масштабируемыми инфраструктурными решениями. WAAP может быть настроен на использование различных техник, таких как распределение трафика, Rate Limiting и CAPTCHA для проверки подозрительных пользователей. Важно также предусмотреть возможность горизонтального масштабирования инфраструктуры, чтобы API мог выдерживать высокий трафик, распределяя нагрузку между несколькими серверами.

Топ-3 рекомендаций, как минимизировать ложные срабатывания и повысить точность работы WAAP?

Динко Димитров, Сергей Одинцов, Вебмониторэкс:

  1. Поддерживать контакт с вендором (через техподдержку) для обеспечения корректной установки и настройки решения и его модулей.
  2. Настроить процесс проверки качества работы продукта и его дообучения на реальном трафике.
  3. Использовать режим мониторинга при первоначальной настройке решения, что позволить обнаружить потенциальные ложные срабатывания и блокировки, а также исключить их соответствующей настройкой.

Лука Сафонов, группа компаний "Гарда":

  1. Использовать кастомизированный набор правил, адаптированный под специфику веб-приложений и API. Например, если в API используются специфические форматы данных или методы, следует настроить WAAP так, чтобы он понимал, что эти параметры не являются аномальными или вредоносными.
  2. Учитывать среду развертывания и контекст использования веб-приложений. В разных окружениях (например, тестовом, продакшн или корпоративном) WAAP должен работать с учетом особенностей трафика и требований безопасности. Например, в корпоративной среде могут быть активированы дополнительные уровни защиты, учитывающие требования безопасности данных, а в публичных приложениях – более гибкие настройки для обеспечения доступности и производительности.
  3. Регулярно обновлять и оптимизировать правила на основе анализа реального трафика и поведения пользователей.

Александр Чикайло, Positive Technologies:

  1. Определить используемый технологический стек, что поможет выбрать оптимальный набор правил, проверяемых параметров и защитных механизмов. Например, если используется только Java, то нет смысла использовать специфичные для PHP правила.
  2. Выделить период адаптации, во время которого WAAP будет находиться в режиме Detect Only для последующего анализа сработок.
  3. Провести точечную настройку правил и механизмов WAAP.

Какие актуальные вызовы, связанные с защитой API, вы прогнозируете на ближайшие 2–3 года?

Лука Сафонов, группа компаний "Гарда":

В ближайшие 2–3 года одной из ключевых проблем станет увеличение сложности и мощности DoS-/DDoS-атак. Злоумышленники становятся все более изобретательными, применяя распределенные атаки с использованием ботнетов и разнообразных техник, таких как мультивекторные атаки, которые комбинируют разные типы угроз для создания максимальной нагрузки на инфраструктуру. Атаки будут становиться более точечными и масштабируемыми, нацеливаясь не только на перегрузку серверов, но и на эксплуатацию уязвимостей API.

Другой важный вызов – новые средства парсинга контента, которые могут использоваться злоумышленниками для обхода систем безопасности. Современные API обрабатывают огромные объемы данных, и новые инструменты могут позволить атакующим лучше анализировать эти данные, находить уязвимости и обходить правила защиты. В будущем мы можем увидеть появление более сложных методов анализа трафика, которые будут помогать киберпреступникам осуществлять целевые атаки, основанные на контенте запросов и ответов API.

Динко Димитров, Лев Палей, Вебмониторэкс:

  1. Основные вызовы будут связаны с ростом количества API и их проникновением в инфраструктуру. Уже сейчас становится актуальной защита микросервисов, которые также коммуницируют по API. Потребуется инструмент для наблюдения за API в разных участках инфраструктуры.
  2. В связи с ростом API-инфраструктуры и увеличением ее важности, будет повышаться необходимость ее более глубокого анализа с целью выявления конечных точек API, подверженных высоким рискам, таким как недокументированные, забытые, призрачные API.

Александр Чикайло, Positive Technologies:

В ближайшие годы мы увидим развитие LLM-моделей, что затруднит дефект ботов, которые их используют. Компаниям-разработчикам ИБ-средств придется переосмыслить методы защиты от ботов, а в частности CAPTCHA-механизмы. Отрасль также ждет увеличение количества атак на API, поскольку растет процент использования API и распространение подхода API-First. Увеличение числа таких приложений приведет также к росту числа Shadow API.

Темы:Круглый столAPIWAFЖурнал "Информационная безопасность" №4, 2024WAAP

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • Прошло ли время TeamViewer и AnyDesk в России?
    Иностранные решения для удаленного администрирования и техподдержки рабочих мест вроде TeamViewer или AnyDesk почти безраздельно царили в своем сегменте российского рынка. Однако с начала 2022 г. ситуация заметно поменялась.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...