Авторы:
Роман Иванченко, руководитель направления RED Security Antibot
Арсений Уваров, руководитель направления RED Security WAF
Мишенью злоумышленников часто становится API (Application Programming Interface, или программный интерфейс приложения), без которого сложно представить разработку современных веб-сервисов. Программные интерфейсы сайтов, приложений, серверов, личных кабинетов и внутренних онлайн-ресурсов компаний облегчают обмен данными, но открытость и доступность делают API целью хакеров.
Злоумышленники используют недостатки в разработке и реализации веб-приложений, чтобы похищать учетные записи, злоупотреблять бизнес-логикой или заниматься фишингом.
Эффективно и своевременно обезопасить системы от нападений помогают решения по защите API. Они автоматизируют часть рутинной работы и обновляют базы актуальных угроз, чтобы специалисты всегда были в курсе новых рисков.
Рассмотрим два вида атак на API: бот-атаки и эксплуатацию уязвимостей, а также способы борьбы с ними.
По оценкам аналитиков RED Security, порядка 30% запросов в интернет-трафике генерируют вредоносные боты. Атаки ботов на API представляют собой разные схемы массовых запросов к программному интерфейсу веб-приложения с одной или несколькими целями:
Всего одна бот-атака может привести к значительным репутационным или финансовым потерям, а также юридическим последствиям: судебным процессам и административным штрафам.
30 мая 2025 г. вступит в силу № 420-ФЗ, который вводит штрафы за утечку персональных данных – до 500 млн руб. Умело организованные бот-атаки могут привести к таким утечкам.
Рассмотрим конкретный пример бот-атаки.
В какой-то момент происходит резкий рост количества запросов к системе дистанционного банковского обслуживания (ДБО). Пристальный анализ трафика выявляет передачу в API-системы большого числа как реально существующих, так и сгенерированных ботами номеров телефонов якобы пользователей. Иногда такая активность приводит к тому, что SMS с авторизацией приходят абонентам, которые не пользуются услугами банка. А часть реальных пользователей из-за перегрузки API-бот-запросами не может авторизоваться в системе ДБО.
В результате в банк поступают жалобы от большого количества людей, а нагрузка на кол-центр резко возрастает. Клиенты недовольны тем, что ДБО не работает, абоненты жалуются, что получили спам-рассылку. Компания теряет доверие пользователей, а расходы на отправку SMS резко возрастают.
Чтобы остановить атаку, недостаточно использовать простой технический анализ и JSON-челлендж. Нужно подключить поведенческий анализ (Behavioral Analysis), который сравнивает с заданной легитимной моделью поведения пользователя поступающие к API запросы: частоту обращений в одну и ту же точку, из каких точек они происходят, количество и владельцев сессий и т.п. Этот подход все чаще применяют в развитых решениях для защиты API приложений от продвинутых угроз.
Антибот – это система защиты, которая фильтрует и блокирует нежелательные запросы к веб-ресурсам от ботов. Она охраняет веб-сайты от угроз: спама, DDoS-атак и других видов автоматического вмешательства, которые негативно влияют на производительность и безопасность ресурсов. На примере сервиса защиты API RED Security Antibot рассмотрим, как обучается и действует антибот-система.
На время обучения команда аналитиков делает трафик приложения легитимным. Далее с помощью кастомных правил создаются цепочки, по которым можно будет однозначно отличить трафик приложения от вредоносного потока, а также подключаются многофакторный анализ и блокировка известных ботов. Сервис защиты API RED Security Antibot обучается легитимному трафику за два-три дня.
Для более комплексной защиты антибот-решения подключают совместно с Anti-DDoS, которые очищают трафик от "паразитных" запросов, характерных для DDoS-атак. Затем осуществляется антибот-защита: анализируется трафик по многим техническим параметрам, и боты отсеиваются.
Преимущество сервиса RED Security Antibot состоит в том, что в нем используется поведенческий анализ. Злоумышленники учат своих ботов скрывать признаки того, что на сайт пытается попасть большое количество псевдо-клиентов с разных IP-адресов. Но если с технической частью хакеры научились справляться, например они успешно имитируют операционную систему и преодолевают систему защиты через мелкие идентификаторы, то обойти поведенческий анализ до сих пор не могут.
ИИ-технологии освобождают время специалистов по безопасности от рутины – автоматически обрабатывают повторяющиеся запросы и выявляют подозрительные признаки.
Согласно оценке аналитиков RED Security, в 2023 г. на попытки взлома веб-ресурсов пришлось более 45% от общего числа атак на компании. Наиболее распространенный вектор – уязвимости в веб-приложениях, часть которых содержится и в API. Злоумышленники используют недостатки или ошибки в коде, чтобы напасть на инфраструктуру.
Эксплуатация уязвимостей подразумевает разные типы атак, например инъекционные, атаки на авторизацию и аутентификацию, те же DDoS, атаки на бизнес-логику.
Справиться с ними помогает Web Application Firewall (WAF, или межсетевой экран веб-приложений), который на прикладном уровне обнаруживает и блокирует аномалии во входящем и исходящем трафике (см. табл. 1).
Сервис RED Security WAF защищает от разных типов атак: атак на API, OWASP TOP-10, 0-day, 1-day и DDoS уровня приложений. Сначала команда сервиса настраивает правила мониторинга и фильтрации трафика для защищаемого веб-ресурса, затем система осуществляет круглосуточное выявление и блокировку аномалий в трафике, а аналитики сервиса – разбор подозрительной активности.
Одна из основных задач при эксплуатации WAF – найти баланс между тем, что нужно проверять, и тем, что не нужно. Некоторые запросы вовсе не требуют проверки, только зря перегружают центральный процессор. Поэтому настраивать правила и фильтры стоит вдумчиво.
WAF анализирует запросы к API от приложений и может блокировать подозрительные параметры или заголовки, например нестандартные User-Agent, запросы от неавторизованных клиентов и аномальное поведение, например резкое увеличение числа запросов. Для этого он использует технологии поведенческого анализа (ML-анализ паттернов запросов), TLS-терминирования (раскрытия TLS-трафика), инспекцию трафика.
Плюс подхода – высокая эффективность против ботов. Минус – требует точной настройки и глубокого изучения структуры API или наличия подробной спецификации.
С помощью анализа JWT и метода аутентификации сообщений HMAC межсетевой экран веб-приложений может проверять валидность токенов (например просроченные или подделанные), манипуляции с iat-, exp-, aud-полями, утечки токенов.
Плюс подхода – защита от атак на авторизацию. Минус – требует доступа к секретным ключам валидации.
WAF помогает верифицировать легитимных клиентов. Для этого он использует API-ключи и подписи запросов, fingerprinting или цифровой отпечаток мобильных приложений, а также взаимодействие с мобильными SDK для дополнительной валидации.
Плюс подхода – сложнее подделать запрос. Минус – дополнительная нагрузка на сервер.
Независимо от подхода есть технологические сложности, которые возникают при защите API с помощью WAF (см. табл. 2).
WAF работает в режиме Reverse Proxy: сервер выступает в качестве посредника между клиентом и одним или несколькими веб-серверами, защищает их от прямых запросов. ИИ облегчает эту работу, обрабатывая большое количество запросов, но человеческий фактор все еще играет решающую роль – именно аналитик показывает ИИ, где легитимная сессия, а где вредоносная, принимая решение в спорных ситуациях.
Сервисы RED Security защищают API приложений от широкого спектра угроз.
Комплексную защиту можно обеспечить с помощью взаимодействия сервисов Antibot [1] и WAF [2], которые при совместном использовании усиливают возможности друг друга в области противодействия ботам и DDoS-атакам, а каждый из них защищает API от специфичных векторов угроз. Сервисы подходят для решения задач импортозамещения – с ними можно бесшовно перейти на российские сертифицированные технологии.