Лука Сафонов, 24/04/25
Еще в 2021 г. аналитики Gartner предсказывали, что атаки на API станут самым частым вектором взлома веб-приложений. Этот прогноз сбылся – за последние годы произошел ряд резонансных утечек данных через уязвимости API. По исследованиям, практически 99% организаций столкнулись с проблемами безопасности API за последние 12 месяцев.
Автор: Лука Сафонов, технический директор компании Weblock, входит в группу компаний “Гарда”
API давно стали неотъемлемой частью цифровых сервисов, но долгое время их безопасности никто не фокусировался. Злоумышленники быстро осознали, что атаки на API – это быстрый и малозаметный способ получить доступ к данным.
Часто API настраивают небрежно, позволяя обходить механизмы аутентификации. Например, случается, что в многоэтапном входе можно просто пропустить проверочные шаги и сразу получить доступ к данным. Подобные уязвимости находили даже в популярных сервисах – так, в Clubhouse хакеры смогли собрать данные пользователей всего за два дня после запуска [1].
К тому же API нередко считают "невидимыми", ведь это не публичная часть сервиса, – и не защищают должным образом. Существуют забытые и заброшенные API, которые могут быть перехвачены злоумышленниками. Ситуация осложняется ростом мобильных технологий: большинство приложений работают через API, а значит, новые атаки появляются постоянно.
В стремлении как можно быстрее выпустить продукт на рынок безопасностью часто пренебрегают. В итоге сервис выходит в эксплуатацию с уязвимостями и архитектурными проблемами, которые вскоре становятся причиной атак и утечек данных.
Разве API требуют особой защиты?
Сообщество OWASP регулярно обновляет список рисков API в виде OWASP API Security Top 10 [2]. Список угроз здесь действительно напоминает классический OWASP Top 10, но адаптированный под специфику API. Характерно, что в версии 2023 г. половина уязвимостей связана с аутентификацией и авторизацией – логины, пароли, токены остаются основными точками атак.
Основная причина возникновения рисков – недочеты разработчиков и администраторов. Даже при многоуровневой защите ошибки конфигурации или уязвимые библиотеки могут свести все усилия к нулю. Теоретически модель OWASP SAMM [3] предлагает безопасный жизненный цикл разработки, но на практике всегда есть ошибки проектирования и внедрений, особенно с учетом современных рисков, таких как программные закладки.
Для защиты API не достаточно фильтров и блокировок. Важно понимать их архитектуру, выявлять слабые места и не создавать новые уязвимости в процессе защиты.
Защитит ли API обычный WAF?
Исторически WAF в его традиционном виде был фильтром, находящимся между веб-сервером и приложением, который анализировал запросы по заранее определенным сигнатурам. Если запрос соответствовал известному паттерну атаки – он блокировался, если нет – пропускался.
Однако с годами атаки усложнялись, и WAF начал обрастать дополнительными функциями, превращаясь в нечто большее – гибридный инструмент класса WAAP (Web Application and API Protection). Один из примеров этого класса решений – Гарда WAF [4], который не только анализирует сигнатуры, но и защищает от DDoS-атак, отслеживает аномалии, ограничивает частоту запросов и многое другое.
К тому же, атаки на API зачастую строятся не на грубых попытках взлома, а на логических уязвимостях. Например, представьте интернет-магазин, где API позволяет выгружать список товаров. Если злоумышленник запросит сразу весь каталог с сотнями тысяч позиций, сервер может попросту исчерпать ресурсы и перестать отвечать. Но с точки зрения классического WAF такой запрос абсолютно легитимен.
Для защиты API нужны новые подходы. Появляются интеллектуальные алгоритмы, отслеживающие не только сигнатуры, но и поведение пользователей. Важно не просто блокировать запросы, а анализировать, кто их делает, с какой частотой, насколько они соответствуют нормальному пользовательскому паттерну.
Особенно сложны атаки на API, когда злоумышленники изучают структуру интерфейса, выявляют "мертвые" и "забытые" эндпоинты (ручки), а затем эксплуатируют их. Появились и совсем новые угрозы – так называемые GPT-боты, которые агрессивно парсят вебсайты и API, собирая данные для обучения нейросетей.
В заключение
Сегодня безопасность API – это отдельная экосистема, включающая API-Gateway, интеллектуальный анализ поведения, ограничение частоты запросов и новые инструменты противодействия автоматизированным угрозам.
Помимо этого, Гарда WAF, как и положено решению WAAP, может интегрироваться с системами Threat Intelligence (например, с Гарда TI), которые анализируют глобальные потоки угроз и накладывают их на текущие события. Некоторые решения даже экспериментируют с автоматическим поиском утекших учетных данных в открытых источниках или на теневых форумах, выявляя возможные компрометации токенов и паролей. В таких случаях система может автоматически аннулировать сессию и заблокировать учетную запись.
WAAP – уже не просто фильтр на границе сети, а интеллектуальная система, которая в режиме реального времени анализирует, кто именно пытается получить доступ, откуда и насколько это соответствует нормальному поведению пользователя.
- https://www.securitymagazine.com/articles/95006
- https://owasp.org/API-Security/editions/2023/en/0x11-t10/
- https://owaspsamm.org/model/
- https://garda.ai/products/network-security/waf
ООО «Гарда Технологии». ИНН 5260443081. Erid: 2SDnjbvmRUR
