API-вызовы становятся обыденной мишенью при атаках на компании
21/03/24
В свежем отчёте под названием «Состояние безопасности API в 2024 году» от компании Imperva было выявлено, что большинство интернет-трафика (порядка 70%) приходится на API-вызовы. Так, в 2023 году среднестатистический корпоративный сайт обрабатывал около 1,5 миллиарда API-вызовов в год, что подчёркивает роль технологии как «соединительной ткани» цифровой модернизации.
Огромный объём интернет-трафика, проходящего через API, должен беспокоить каждого специалиста по безопасности. Несмотря на все усилия по внедрению фреймворков типа shift-left и SDLC-процессов, API-интерфейсы часто всё ещё запускаются в производство до того, как они будут каталогизированы, аутентифицированы и проверены. Об этом пишет Securitylab.
В среднем организации имеют в производстве 613 конечных точек API, но это число быстро растёт по мере того, как растёт потребность в более быстром и эффективном предоставлении цифровых услуг клиентам. Со временем эти API могут стать опасными и уязвимыми конечными точками.
В своём отчёте Imperva приходит к выводу, что API теперь являются вполне обыденным вектором атак для киберпреступников, так как они представляют прямой путь доступа к чувствительным данным. Так, недавнее исследование, проведённое Центром анализа киберрисков Марша Макленнана совместно с Imperva, показывает, что инциденты безопасности, связанные с API, обходятся глобальному бизнесу в 75 миллиардов долларов ежегодно.
В 2023 году наибольшее количество API-вызовов было зарегистрировано в банковской сфере и онлайн-ритейле, что делает финансовые услуги основной целью атак, связанных с API. Киберпреступники используют различные методы для атаки на точки доступа API, в том числе через захват учётных записей, при котором они эксплуатируют уязвимости в процессах аутентификации API для несанкционированного доступа к аккаунтам.
Неправильное управление API создаёт уникальные вызовы для команд безопасности, отчасти из-за быстрого темпа разработки программного обеспечения и отсутствия зрелых инструментов и процессов для сотрудничества разработчиков и команд безопасности. В результате, почти каждый десятый API уязвим к атакам из-за неправильного управления, отсутствия мониторинга или недостаточного контроля аутентификации.
Для снижения рисков безопасности, связанных с неправильным управлением API, рекомендуется проведение регулярных аудитов для выявления неконтролируемых или неаутентифицированных точек доступа API. Непрерывный мониторинг может помочь вовремя обнаружить попытки эксплуатации уязвимостей, связанных с этими точками доступа. Кроме того, разработчики должны регулярно обновлять и модернизировать API, чтобы гарантировать, что устаревшие конечные точки своевременно заменяются на более безопасные альтернативы.
Imperva предлагает несколько рекомендаций для улучшения защиты API организаций. Среди них, например:
- Обнаруживать, классифицировать и инвентаризировать все API, конечные точки, параметры и полезные нагрузки. Использовать непрерывное обнаружение для поддержания постоянно обновляемой инвентаризации API и выявления утечек чувствительных данных.
- Идентифицировать и защищать чувствительные и высокорисковые API. Проводить оценку рисков, специально нацеленную на уязвимые конечные точки API, особенно те, что подвержены нарушениям авторизации и аутентификации, а также чрезмерному раскрытию данных.
- Установить надёжную систему мониторинга для конечных точек API, чтобы активно обнаруживать и анализировать подозрительные поведения и модели доступа.
- Внедрить подход к безопасности API, который объединяет брандмауэр веб-приложения (Web Application Firewall, WAF), защиту API, предотвращение DDoS-атак и защиту от ботов. Комплексный набор вариантов смягчения последствий предлагает гибкость и продвинутую защиту от всё более сложных угроз для API, таких как атаки на бизнес-логику, от которых особенно сложно защититься, поскольку они уникальны для каждого API.
Все эти меры могут помочь организациям обеспечить более высокий уровень безопасности их цифровой инфраструктуры и защититься от потенциальных атак киберпреступников, целенаправленно эксплуатирующих уязвимости в API.
С учётом того, что объём использования API продолжает расти, важность строгой безопасности и активного управления API становится ещё более очевидной задачей для предотвращения утечек данных, непредвиденных финансовых потерь и ущерба репутации.