API без утечек: как обеспечить безопасное взаимодействие сервисов

03/06/25

17 июня на конференции «Проектирование и защита API» в рамках Форума ITSEC специалисты из ФСТЭК России, ВТБ, ИСП РАН, Авито, Альфа-Банка, Ozon Fintech, Ecom.tech и Оператора Газпром ИД разберут нормативную повестку, актуальные уязвимости, ключевые вопросы проектирования и защиты API в современных цифровых системах. Программа и регистрация →

В современной цифровой среде API обеспечивают удобный обмен данными между приложениями, сервисами и платформами. Это помогает автоматизировать процессы, добавлять новые сервисы, не ломая инфраструктуру, и ускорять разработку. Но открытость API делает их удобной точкой входа для атак.

Злоумышленники могут использовать открытые API, чтобы обойти механизмы авторизации, получить доступ к чужим данным или перегрузить систему с помощью автоматических запросов.

Вместе с представителем регулятора, AppSec-специалистами, Security Champions, DevSecOps-инженерами, архитекторами и разработчиками платформ поговорим о том, как проектировать безопасную API-архитектуру с нуля, как интегрировать безопасность в CI/CD без потери скорости разработки, а также — какие инструменты эффективны для мониторинга и предотвращения атак.

Ключевые темы конференции:

Роль регуляторов. Как нормативная база влияет на разработку защищённого ПО.
Проектирование защищённых API. Рассмотрим, как проектировать API с учётом требований безопасности и бизнес-целей.
Уязвимости API. Проанализируем ключевые уязвимости, включая инъекции, IDOR, ошибки аутентификации и избыточные права доступа, которые встречаются как в публичных, так и во внутренних API. Обсудим проверенные методы их выявления и эффективные стратегии предотвращения.
Средства защиты. Обсудим современные протоколы аутентификации и авторизации (OAuth 2.0, OpenID Connect), использование API Gateway и Web Application Firewall (WAF), автоматизированный мониторинг и логирование, которые помогают быстро выявлять подозрительную активность и реагировать на инциденты.

Ирина Гефнер, заместитель начальника Управления ФСТЭК России, расскажет, как нормативно-правовое регулирование в области РБПО формирует фундамент качественной и эффективной разработки программного обеспечения.

Павел Довгалюк, инженер ИСП РАН, представит методы исследования работы публичного API. Вы узнаете как, зная точку входа, определить весь набор программных компонентов, отвечающих за обработку пользовательских данных.

Игорь Бессчастный, лидер платформы API, замначальника управления развития технологических платформенных решений ПАО ВТБ, расскажет, как финансовые организации проектируют и защищают API в условиях высоких требований к безопасности, конфиденциальности и соответствию регуляторным нормам.

Артём Костючек, старший эксперт по AppSec АО «Альфа-Банк»,

разберёт ключевые уязвимости из OWASP API Top 10 и их причины, и покажет на примерах, как неочевидные ошибки конфигурации и проектирования API могут привести к серьёзным инцидентам.

Дмитрий Марюшкин, руководитель группы продуктовой безопасности ООО «Интернет Решения» (Ozon Fintech), представит разные подходы к управлению уязвимостей типа IDOR и методы защиты API от несанкционированного доступа.

Как настроить систему проверки API, которая успевает за частыми релизами, расскажет Александр Трифанов, ведущий инженер ООО «Авито».

Самые эффективные подходы к нвентаризации и харденингу API представит Алексей Морозов, руководитель направления прикладной безопасности ООО «Умное пространство» (Ecom.tech).

Подходы и практики аутентификации в API, от использования API-ключей и basic-аутентификации до внедрения OAuth 2.0, Token Exchange и OpenID Connect, представит Ирина Блажина, архитектор информационной безопасности ООО «Оператор Газпром ИД».

В рамках панельной дискуссии обсудим защиту API на стыке технологий, процессов и регуляторики с Романом Паниным, руководителем направления архитектуры ИБ ПАО «МТС», Дмитрием Тараненко, CISO ООО «Инновационная медицина» (СберЗдоровье), Игорем Бессчастным, лидером платформы API ПАО ВТБ, Александром Трифановым, ведущим инженером ООО «Авито», Дмитрием Марюшкиным, руководителем группы продуктовой безопасности ООО «Интернет Решения» (Ozon Fintech), Алексеем Морозовым, руководителем направления прикладной безопасности ООО «Умное пространство» (Ecom.tech, ex. Samokat.tech), Павлом Довгалюком, инженером ИСП РАН.

Зачем участвовать?

Вы узнаете, как проектируют и защищают API в ведущих российских компаниях;
познакомитесь с лучшими практиками для защиты API, чтобы минимизировать риски утечек данных;
получите ответы на свои вопросы напрямую от практиков, готовых поделиться опытом по самым актуальным и сложным проблемам;
установите новые профессиональные связи с экспертами в области IT и ИБ из банков, телекоммуникаций и e-commerce.

Форум ITSEC — это профессиональная площадка, где IT- и ИБ-специалисты ведущих компаний страны формируют новую культуру безопасности через открытый профессиональный диалог

Кому будет интересно:

Специалистам по Application Security (AppSec);
Security Champions в командах разработки;
Экспертам и инженерам по информационной безопасности;
DevOps- и DevSecOps-инженерам;
Руководителям команд разработки.

Форум ITSEC 2025: безопасная разработка

17-18 июня 2025
Москва, Radisson Blu Belorusskaya

API без утечек: как обеспечить безопасное взаимодействие сервисов

Зачем участвовать?

Кому будет интересно:

Мы в соцсетях