17 июня в рамках Форума ITSEC состоялась конференция «Проектирование и защита API». Эксперты ФСТЭК России, ВТБ, ИСП РАН, Авито, Альфа-Банка, Ozon Fintech, Ecom.tech и Оператора Газпром ИД, СберЗдоровья обсудили, как проектировать надёжные API, выявлять уязвимости и внедрять защиту на уровне архитектуры и процессов. Презентации и запись →
В современной цифровой среде API обеспечивают удобный обмен данными между приложениями, сервисами и платформами. Это помогает автоматизировать процессы, масштабировать функциональность без переписывания инфраструктуры и ускорять разработку. Однако открытость API делает их уязвимой точкой входа для атак: злоумышленники могут обходить авторизацию, получать доступ к конфиденциальным данным или перегружать систему автоматическими запросами.
На конференции участники разобрали, как проектировать безопасную API-архитектуру с нуля, как интегрировать безопасность в CI/CD без ущерба для скорости разработки, и какие инструменты помогают эффективно мониторить и предотвращать атаки.
Опубликованы материалы выступлений:
- Ирина Гефнер, заместитель начальника Управления ФСТЭК России, рассказала, как нормативно-правовое регулирование в области РБПО формирует основу для безопасной разработки.
- Игорь Бессчастный, лидер платформы API ВТБ, и Диана Налегач, лидер команды Реестр API ВТБ, поделились опытом проектирования API в условиях высокого уровня требований к безопасности и регуляторному соответствию.
- Артём Костючек, старший эксперт АО «Альфа-Банк», разобрал OWASP API Top 10 и показал, как ошибки конфигурации могут привести к инцидентам.
- Павел Довгалюк, инженер ФГБУН «ИСП РАН», продемонстрировал методику анализа публичных API — как, зная точку входа, выявить весь стек компонентов, обрабатывающих данные.
- Дмитрий Марюшкин, руководитель группы продуктовой безопасности Ozon Fintech, представил подходы к защите от IDOR и других типов несанкционированного доступа.
- Александр Трифанов, руководитель направления Application Security ООО «Авито Тех», рассказал, как выстроить систему проверки API, успевающую за частыми релизами.
- Алексей Морозов, руководитель направления прикладной безопасности Ecom.tech, представил практики инвентаризации и харденинга API.
- Ирина Блажина, архитектор информационной безопасности ООО «Оператор Газпром ИД», рассказала о подходах к аутентификации — от ключей до OpenID Connect и Token Exchange.
- Виталий Панасенко, независимый эксперт, рассказал, как встроить защиту API в DevOps-практики без замедления процессов разработки.
Ключевые темы конференции:
- Роль регуляторов. Обсудили, как нормативная база влияет на разработку защищённого ПО.
- Проектирование защищённых API. Участники поделились подходами, учитывающими как требования безопасности, так и бизнес-цели.
- Актуальные уязвимости. Проанализировали типовые проблемы, включая инъекции, IDOR, ошибки аутентификации и избыточные права. Рассмотрели практики их выявления и предотвращения.
- Инструменты защиты. Обсудили протоколы авторизации (OAuth 2.0, OpenID Connect), применение API Gateway и WAF, автоматическое логирование и мониторинг инцидентов.
17-18 июня 2025
Москва, Radisson Blu Belorusskaya