Три направления защиты API от Gartner

Распространение новых цифровых технологий так или иначе связано с определенными рисками информационной безопасности. Не является исключением и использование API-интерфейсов. Взлом хостинг-провайдера Hostinger, при котором через API-интерфейс утекли даже логины и хеш-суммы паролей, недавняя опасная уязвимость в Uber, когда была возможна даже кража аккаунтов и деанонимизация пассажира/водителя, – вот только несколько публичных случаев, подтверждающих эту мысль. 

API как набор технологий обладает определенными уязвимостями. Для эффективного и безопасного использования данных технологий необходимо понимать подходы и способы их минимизации. Эксперты группы компаний Angara приняли участие в мероприятии, организованном компанией Gartner на тему защиты API. В нашем блоге мы приводим основные тезисы.

Особенно часто API-интеграция применяется в микросервисной среде. Развитие экосистем способствует необходимости использования межплатформенных интерфейсов взаимодействия. API уже не является сугубо внутренним интерфейсом, он вышел в глобальную сеть и становится практически обязательным для современного приложения. 

Отличаясь от привычного веб-трафика, API-трафик требует отдельной проработки защиты информационной безопасности экспертами организации. И если в компании используются микросервисы, необходимо проанализировать и рассмотреть необходимость защиты API-трафика.

В вопросах защиты API следует прежде всего провести инвентаризацию открытых интерфейсов, причем учитывать как трафик «север-юг», так и «восток-запад», и желательно подключить команду информационной безопасности к процессу проработки API-интерфейсов. 

Gartner выделяет три направления защиты API: 

  • Тестирование и поиск уязвимостей. Для этого используются технологии Dynamic/Static security testing (DAST/SAST), фаззинг и другие.

  • Контентная защита, включая валидацию легитимности использования (JSON/XML-схемы) и детектирование аномалий, контроль запросов/ответов, сигнатурный и репутационный анализ, использование TLS/SSL и другие.

  • Контроль доступа к API – OAuth 2.0, OpenID, JSON web-токены, интеграции с системами контроля доступа.

Политика защиты должна включать следующие основные функциональные блоки:

  • инвентаризация и вычисление «теневых» API; 

  • детектирование нерегулярного или опасного API-трафика и поиск аномалий;

  • аутентификация и авторизация в интерфейсах;

  • валидация запросов и ответов;

  • вычищение критических данных из API ответов, токенизация или маскирование данных;

  • сохранение журнала аудита.


«Важным аспектом защиты API будет защиты от веб-скрепинга или атаки парсинга контента сайта. Атака особенно опасна для B2C-сегмента, где основой ценностного предложения является проведенный анализ спроса клиента и результирующий набор продуктов, несанкционированный анализ которых конкурентом принесет сам по себе бизнес-потери», – комментирует менеджер по развитию бизнеса группы компаний Angara Анна Михайлова. Не говоря уже о прямой краже контента, как это было с ресурсами Trello, Exactis, Pipl, Intel (преждевременный доступ к информации о доходности по итогу финансового года), кражей у Авито объявлений о недвижимости и прочие случаи, добавляет она.

Защиту от атак на API-интерфейсы подобного рода представляют наиболее продвинутые производители:

Эксперты группы компаний Angara осуществляют полный комплекс описанных выше услуг. Наше предложение по созданию системы защиты и мониторинга API-трафика включает консолидацию ключевых требований клиента к защите API, сбор данных, касающихся функционирования и настроек текущих приложения в части API, проектирование и интеграция инструмента защиты в существующую ИТ-инфраструктуру клиента и его тонкая настройка по согласованным ранее требованиям. 

Для защиты API-трафика эксперты группы компаний Angara рекомендуют использование решений компаний F5 на базе решения NGINX Controller, а также Fortinet FortiWeb систему.

По всем вопросам по этим и другим услугам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах