Контакты
Подписка 2026

Защита API – это не просто WAF и блокировки

Лука Сафонов, 24/04/25

Еще в 2021 г. аналитики Gartner предсказывали, что атаки на API станут самым частым вектором взлома веб-приложений. Этот прогноз сбылся – за последние годы произошел ряд резонансных утечек данных через уязвимости API. По исследованиям, практически 99% организаций столкнулись с проблемами безопасности API за последние 12 месяцев.

Автор: Лука Сафонов, технический директор компании Weblock, входит в группу компаний “Гарда”

ris1-Apr-24-2025-11-31-19-3389-AM

API давно стали неотъемлемой частью цифровых сервисов, но долгое время их безопасности никто не фокусировался. Злоумышленники быстро осознали, что атаки на API – это быстрый и малозаметный способ получить доступ к данным.

Часто API настраивают небрежно, позволяя обходить механизмы аутентификации. Например, случается, что в многоэтапном входе можно просто пропустить проверочные шаги и сразу получить доступ к данным. Подобные уязвимости находили даже в популярных сервисах – так, в Clubhouse хакеры смогли собрать данные пользователей всего за два дня после запуска [1].

К тому же API нередко считают "невидимыми", ведь это не публичная часть сервиса, – и не защищают должным образом. Существуют забытые и заброшенные API, которые могут быть перехвачены злоумышленниками. Ситуация осложняется ростом мобильных технологий: большинство приложений работают через API, а значит, новые атаки появляются постоянно.

В стремлении как можно быстрее выпустить продукт на рынок безопасностью часто пренебрегают. В итоге сервис выходит в эксплуатацию с уязвимостями и архитектурными проблемами, которые вскоре становятся причиной атак и утечек данных.

Разве API требуют особой защиты?

Сообщество OWASP регулярно обновляет список рисков API в виде OWASP API Security Top 10 [2]. Список угроз здесь действительно напоминает классический OWASP Top 10, но адаптированный под специфику API. Характерно, что в версии 2023 г. половина уязвимостей связана с аутентификацией и авторизацией – логины, пароли, токены остаются основными точками атак.

Основная причина возникновения рисков – недочеты разработчиков и администраторов. Даже при многоуровневой защите ошибки конфигурации или уязвимые библиотеки могут свести все усилия к нулю. Теоретически модель OWASP SAMM [3] предлагает безопасный жизненный цикл разработки, но на практике всегда есть ошибки проектирования и внедрений, особенно с учетом современных рисков, таких как программные закладки.

Для защиты API не достаточно фильтров и блокировок. Важно понимать их архитектуру, выявлять слабые места и не создавать новые уязвимости в процессе защиты.

Защитит ли API обычный WAF?

Исторически WAF в его традиционном виде был фильтром, находящимся между веб-сервером и приложением, который анализировал запросы по заранее определенным сигнатурам. Если запрос соответствовал известному паттерну атаки – он блокировался, если нет – пропускался.

Однако с годами атаки усложнялись, и WAF начал обрастать дополнительными функциями, превращаясь в нечто большее – гибридный инструмент класса WAAP (Web Application and API Protection). Один из примеров этого класса решений – Гарда WAF [4], который не только анализирует сигнатуры, но и защищает от DDoS-атак, отслеживает аномалии, ограничивает частоту запросов и многое другое.

К тому же, атаки на API зачастую строятся не на грубых попытках взлома, а на логических уязвимостях. Например, представьте интернет-магазин, где API позволяет выгружать список товаров. Если злоумышленник запросит сразу весь каталог с сотнями тысяч позиций, сервер может попросту исчерпать ресурсы и перестать отвечать. Но с точки зрения классического WAF такой запрос абсолютно легитимен.

Для защиты API нужны новые подходы. Появляются интеллектуальные алгоритмы, отслеживающие не только сигнатуры, но и поведение пользователей. Важно не просто блокировать запросы, а анализировать, кто их делает, с какой частотой, насколько они соответствуют нормальному пользовательскому паттерну.

Особенно сложны атаки на API, когда злоумышленники изучают структуру интерфейса, выявляют "мертвые" и "забытые" эндпоинты (ручки), а затем эксплуатируют их. Появились и совсем новые угрозы – так называемые GPT-боты, которые агрессивно парсят вебсайты и API, собирая данные для обучения нейросетей.

В заключение

Сегодня безопасность API – это отдельная экосистема, включающая API-Gateway, интеллектуальный анализ поведения, ограничение частоты запросов и новые инструменты противодействия автоматизированным угрозам.

Помимо этого, Гарда WAF, как и положено решению WAAP, может интегрироваться с системами Threat Intelligence (например, с Гарда TI), которые анализируют глобальные потоки угроз и накладывают их на текущие события. Некоторые решения даже экспериментируют с автоматическим поиском утекших учетных данных в открытых источниках или на теневых форумах, выявляя возможные компрометации токенов и паролей. В таких случаях система может автоматически аннулировать сессию и заблокировать учетную запись.

WAAP – уже не просто фильтр на границе сети, а интеллектуальная система, которая в режиме реального времени анализирует, кто именно пытается получить доступ, откуда и насколько это соответствует нормальному поведению пользователя.


  1. https://www.securitymagazine.com/articles/95006 
  2. https://owasp.org/API-Security/editions/2023/en/0x11-t10/ 
  3. https://owaspsamm.org/model/ 
  4. https://garda.ai/products/network-security/waf 

ООО «Гарда Технологии». ИНН 5260443081. Erid: 2SDnjbvmRUR

Темы:APIГардаWAAPЖурнал "Информационная безопасность" №1, 2025Гарда WAF
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Технологии NDR и Database Firewall (DBF) против тихой эксфильтрации из баз данных
    Дмитрий Ларин, руководитель продуктового направления по защите баз данных группы компаний "Гарда"
    С тихой эксфильтрацией данных из баз есть одна неприятная особенность: в большинстве реальных случаев она вообще не выглядит как эксфильтрация. Нет ни дампов, ни пиков трафика, ни экзотических SQL-конструкций. Есть обычные SELECT, знакомые учетные записи и зашифрованный трафик, который снаружи ничем не отличается от легитимного. Именно поэтому такие инциденты часто проходят мимо средств защиты.
  • 5 вопросов при выборе Anti-DDoS
    Вадим Солдатенков, руководитель направления продуктов “Гарда Anti-DDoS”, группа компаний “Гарда”
    Первая DDoS-атака всегда приходит внезапно. Каналы заполняются мусорными запросами, задержки отклика сервера растут, пользователи жалуются, мониторинг показывает критические ошибки. DDoS-атаки, к сожалению, уже не исключение, а привычный фон. Каждая волна становится сложнее: за флудом на сетевом или транспортном уровнях модели OSI скрываются целевые запросы к API и прикладным сервисам, а шифрование трафика еще сильнее усложняет задачу. Разберем пять ключевых аспектов выбора Anti-DDoS-решения, от которых зависит выживаемость и устойчивость ИТ-инфраструктуры в условиях постоянных атак.
  • NDR + NAC: практическая стратегия сетевого реагирования
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    Скорость развития современных сетевых атак такова, что системы защиты не успевают адекватно реагировать. При этом им не только важно быстрее “стрелять”, но и точнее ”прицеливаться”, иначе можно парализовать работу всей инфраструктуры. Как совместить скорость и точность, чтобы защитить инфраструктуру, а не навредить ей? Все больше специалистов находят ответ в тандеме NDR и NAC, и давайте разберемся, почему.
  • Геометрия DLP требует пересмотра
    Арен Торосян, руководитель продукта “Гарда DLP”
    Если ваш ландшафт СЗИ вообще, а DLP в частности, похож на лоскутное одеяло – вы не одиноки. Во многих крупных компаниях безопасность развивается не по плану, а по обстоятельствам: одно подразделение внедрило решение “для галочки”, другое – под влиянием подрядчика, третье унаследовало систему вместе с купленной дочкой. Так появляется распределенная сеть из разрозненных инсталляций, каждая из которых требует внимания, ресурсов и отдельной стратегии. В какой-то момент вся эта конструкция перестает поддаваться управлению – и становится риском сама по себе.
  • Методология построения и защиты API простыми словами
    Тимофей Горбунов, продуктовый маркетолог “Вебмониторэкс”
    Задумайтесь, какое количество "толстых" клиентов вы используете уже сегодня? Какие тренды зарубежного технологического рынка сформировались за последние годы и дойдут до нас в полном объеме в ближайшее время?
  • Защита API от бот-атак и эксплуатации уязвимостей
    Роман Иванченко, руководитель направления RED Security Antibot
    Почти каждое современное приложение содержит уязвимости, эксплуатация которых, зачастую, приводит к прерыванию бизнес-процессов компании.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...