Ключевую роль в обеспечении безопасности API играют средства мониторинга. Они позволяют отслеживать и анализировать все действия, происходящие с API, выявляя аномалии и потенциальные угрозы. Например, мониторинг может выявить подозрительные запросы, высокую частоту обращений с одного IP-адреса, необычные географические паттерны или аномальную структуру запросов. Кроме того, средства мониторинга могут отправлять оповещения администраторам для своевременного реагирования на инциденты.
Второй компонент – это WAF или WAAP, которые предназначены для фильтрации трафика и защиты API от различных угроз на уровне веб-приложений. WAF анализирует входящие и исходящие запросы, блокируя потенциально вредоносные запросы, которые могут содержать, например, SQL-инъекции, XSS, попытки внедрения команд и другие типы угроз. WAAP идет еще дальше, предоставляя более специализированную защиту для API, включая защиту от DoS-/DDoS-атак, защиту от утечек данных и управление аутентификацией запросов.
Первая линия защиты API это средства класса WAAP, которые включают в себя:
Помимо этого необходимо использовать веб-ориентированные фаззеры, в том числе и на основе схемы Open API, и проводить регулярные пентесты.
По сути, для детектирования атак может быть выбрана позитивная модель, негативная или их комбинация. Негативная модель направлена на блокировку атак, позитивная – на формирование жесткого конструкта "не пройдет все, что не по правилам". По первой модели функционирует решение WAF Вебмониторэкс, для реализации второй подойдут валидаторы схем (в нашем случае – "ПроAPI Защита"). Но для того, чтобы сформировать корректные правила для позитивной модели, нужно детально разобрать структуру API и выяснить, какие уязвимости и недостатки в ней присутствуют. В этом помогут решения типа DAST и визуализация API.
Можно и нужно! На этапах дизайна и тестирования нужно смотреть, насколько автосформированная документация API отличается от ушедшей на предпрод. В момент тестирования необходимо учитывать информацию об уязвимостях и недостатках API, а при определенной зрелости – и делать отчеты о таких недостатках блокерами для процесса выпуска API. К моменту перевода в промышленную эксплуатацию нужно контролировать, что все работает, как спланировали. Другой вопрос – как обеспечить такое встраивание? Ответ: через API, позволяющий активировать нужные функции вызовом из платформы CI/CD.
Интеграция API-безопасности в процессы CI/CD не только возможна, но и крайне важна. Для этого необходимо выстроить оптимальный CI-/CD-пайплайн, в который будут интегрированы автоматизированные проверки безопасности API. Это можно сделать, добавив этапы тестирования безопасности, такие как статический и динамический анализ кода, проверка уязвимостей и автоматизированные тесты API на устойчивость к атакам. Важной частью является интеграция SAST, DAST и инструментов для автоматизированного сканирования уязвимостей в API на этапе сборки и деплоя.
Важно также, чтобы API-безопасность была проверяема на каждом этапе пайплайна. Это делается с помощью автоматического запуска тестов безопасности при каждом изменении кода или перед выпуском новой версии. В дополнение к автоматическим проверкам следует внедрять политику код-ревью с фокусом на безопасность и проводить регулярные пентесты API.
Для обеспечения безопасности API в процессе CI/CD нужно использовать классический AppSec-подход – Shift Left. На уровне CI/CD можно внедрить средства для обнаружения секретов в коде, поиск Security Misconfiguration, сбора и валидации OpenAPI-схемы, а также использовать SAST- и DAST-инструменты и формировать виртуальные патчи.
Какие меры необходимы предпринимать, чтобы WAAP не замедлял работу API? Как обеспечить защиту API в условиях повышенного трафика и DDoS-атак?
Точечная настройка WAAP позволит минимизировать процент False Positive и снизить нагрузку на саму систему. Важно грамотно формировать политику безопасности, исключая широкие настройки по принципу "проверить все и везде". Стоит также разделять приложения и распределять нагрузку на разные ядра, поды, агенты. Нет смысла использовать приоритизацию правил, проверять весь запрос, если адрес клиента не проходит по IP-Reputation.
Необходимо выбирать тот продукт, в котором вы разбираетесь и знаете его сильные и слабые стороны. Основываться следует на технических показателях, а не маркетинговых обещаниях. Это позволит максимально эффективно использовать данное решение для защиты ваших API.
Для того чтобы WAAP не замедлял работу API, необходимо, чтобы в нем применялись продуманные подходы к выявлению аномальной и автоматизированной активности. Один из ключевых методов – это интеллектуальная фильтрация трафика, которая позволяет отличать легитимные запросы от подозрительных. Использование машинного обучения помогает WAAP динамически адаптироваться к нормальному поведению пользователей и оперативно блокировать аномальные запросы, минимизируя задержки для легитимных клиентов.
Для защиты API в условиях DDoS-атак важно комбинировать автоматические механизмы защиты с масштабируемыми инфраструктурными решениями. WAAP может быть настроен на использование различных техник, таких как распределение трафика, Rate Limiting и CAPTCHA для проверки подозрительных пользователей. Важно также предусмотреть возможность горизонтального масштабирования инфраструктуры, чтобы API мог выдерживать высокий трафик, распределяя нагрузку между несколькими серверами.
В ближайшие 2–3 года одной из ключевых проблем станет увеличение сложности и мощности DoS-/DDoS-атак. Злоумышленники становятся все более изобретательными, применяя распределенные атаки с использованием ботнетов и разнообразных техник, таких как мультивекторные атаки, которые комбинируют разные типы угроз для создания максимальной нагрузки на инфраструктуру. Атаки будут становиться более точечными и масштабируемыми, нацеливаясь не только на перегрузку серверов, но и на эксплуатацию уязвимостей API.
Другой важный вызов – новые средства парсинга контента, которые могут использоваться злоумышленниками для обхода систем безопасности. Современные API обрабатывают огромные объемы данных, и новые инструменты могут позволить атакующим лучше анализировать эти данные, находить уязвимости и обходить правила защиты. В будущем мы можем увидеть появление более сложных методов анализа трафика, которые будут помогать киберпреступникам осуществлять целевые атаки, основанные на контенте запросов и ответов API.
В ближайшие годы мы увидим развитие LLM-моделей, что затруднит дефект ботов, которые их используют. Компаниям-разработчикам ИБ-средств придется переосмыслить методы защиты от ботов, а в частности CAPTCHA-механизмы. Отрасль также ждет увеличение количества атак на API, поскольку растет процент использования API и распространение подхода API-First. Увеличение числа таких приложений приведет также к росту числа Shadow API.