Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

API-вызовы становятся обыденной мишенью при атаках на компании

21/03/24

api-integration

В свежем отчёте под названием «Состояние безопасности API в 2024 году» от компании Imperva было выявлено, что большинство интернет-трафика (порядка 70%) приходится на API-вызовы. Так, в 2023 году среднестатистический корпоративный сайт обрабатывал около 1,5 миллиарда API-вызовов в год, что подчёркивает роль технологии как «соединительной ткани» цифровой модернизации.

Огромный объём интернет-трафика, проходящего через API, должен беспокоить каждого специалиста по безопасности. Несмотря на все усилия по внедрению фреймворков типа shift-left и SDLC-процессов, API-интерфейсы часто всё ещё запускаются в производство до того, как они будут каталогизированы, аутентифицированы и проверены. Об этом пишет Securitylab.

В среднем организации имеют в производстве 613 конечных точек API, но это число быстро растёт по мере того, как растёт потребность в более быстром и эффективном предоставлении цифровых услуг клиентам. Со временем эти API могут стать опасными и уязвимыми конечными точками.

В своём отчёте Imperva приходит к выводу, что API теперь являются вполне обыденным вектором атак для киберпреступников, так как они представляют прямой путь доступа к чувствительным данным. Так, недавнее исследование, проведённое Центром анализа киберрисков Марша Макленнана совместно с Imperva, показывает, что инциденты безопасности, связанные с API, обходятся глобальному бизнесу в 75 миллиардов долларов ежегодно.

В 2023 году наибольшее количество API-вызовов было зарегистрировано в банковской сфере и онлайн-ритейле, что делает финансовые услуги основной целью атак, связанных с API. Киберпреступники используют различные методы для атаки на точки доступа API, в том числе через захват учётных записей, при котором они эксплуатируют уязвимости в процессах аутентификации API для несанкционированного доступа к аккаунтам.

Неправильное управление API создаёт уникальные вызовы для команд безопасности, отчасти из-за быстрого темпа разработки программного обеспечения и отсутствия зрелых инструментов и процессов для сотрудничества разработчиков и команд безопасности. В результате, почти каждый десятый API уязвим к атакам из-за неправильного управления, отсутствия мониторинга или недостаточного контроля аутентификации.

Для снижения рисков безопасности, связанных с неправильным управлением API, рекомендуется проведение регулярных аудитов для выявления неконтролируемых или неаутентифицированных точек доступа API. Непрерывный мониторинг может помочь вовремя обнаружить попытки эксплуатации уязвимостей, связанных с этими точками доступа. Кроме того, разработчики должны регулярно обновлять и модернизировать API, чтобы гарантировать, что устаревшие конечные точки своевременно заменяются на более безопасные альтернативы.

Imperva предлагает несколько рекомендаций для улучшения защиты API организаций. Среди них, например:

  • Обнаруживать, классифицировать и инвентаризировать все API, конечные точки, параметры и полезные нагрузки. Использовать непрерывное обнаружение для поддержания постоянно обновляемой инвентаризации API и выявления утечек чувствительных данных.
  • Идентифицировать и защищать чувствительные и высокорисковые API. Проводить оценку рисков, специально нацеленную на уязвимые конечные точки API, особенно те, что подвержены нарушениям авторизации и аутентификации, а также чрезмерному раскрытию данных.
  • Установить надёжную систему мониторинга для конечных точек API, чтобы активно обнаруживать и анализировать подозрительные поведения и модели доступа.
  • Внедрить подход к безопасности API, который объединяет брандмауэр веб-приложения (Web Application Firewall, WAF), защиту API, предотвращение DDoS-атак и защиту от ботов. Комплексный набор вариантов смягчения последствий предлагает гибкость и продвинутую защиту от всё более сложных угроз для API, таких как атаки на бизнес-логику, от которых особенно сложно защититься, поскольку они уникальны для каждого API.

Все эти меры могут помочь организациям обеспечить более высокий уровень безопасности их цифровой инфраструктуры и защититься от потенциальных атак киберпреступников, целенаправленно эксплуатирующих уязвимости в API.

С учётом того, что объём использования API продолжает расти, важность строгой безопасности и активного управления API становится ещё более очевидной задачей для предотвращения утечек данных, непредвиденных финансовых потерь и ущерба репутации.

Темы:ИсследованиеУгрозыКибератакиAPIImperva
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Сколько в 2022 году стоит специалист по информационной безопасности?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Вакансий в сфере ИБ и защиты информации с февраля по июль 2022 г. в целом по России стало больше на 96%
  • Майнеры, вымогатели, мошенники — основные киберугрозы первой половины 2021 года
    Чего опасаться в 2021 году и как предотвратить угрозы
  • Разногласия между разработчиками и службами безопасности растут
    Разработчики считают, что политики безопасности сдерживают внедрение инноваций, а система безопасности по-прежнему воспринимается в организациях как барьер

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...