Интерфейсы прикладного программирования (API) являются связующим звеном цифровой модернизации, помогая приложениям и базам данных более эффективно обмениваться данными. Отчет о состоянии безопасности API в 2024 году от Imperva, компании Thales, показал, что большую часть интернет-трафика (71%) в 2023 году составляли вызовы API. Более того, на типичном корпоративном сайте в 2023 году было зафиксировано в среднем 1,5 миллиарда вызовов API.
Огромный объем интернет-трафика, проходящего через API, должен беспокоить каждого специалиста по безопасности. Несмотря на все усилия по внедрению фреймворков shift-left и процессов SDLC, API-интерфейсы часто все еще запускаются в производство до того, как они будут каталогизированы, аутентифицированы или проверены. В среднем организации имеют в производстве 613 конечных точек API, но это число быстро растет по мере того, как растет потребность в более быстром и эффективном предоставлении цифровых услуг клиентам. Со временем эти API могут стать опасными и уязвимыми конечными точками.
В своем отчете Imperva приходит к выводу, что API-интерфейсы в настоящее время являются обычным вектором атаки для киберпреступников, поскольку они представляют собой прямой путь к доступу к конфиденциальным данным. Фактически, исследование, проведенное Центром анализа киберрисков Марша Макленнана, показывает, что инциденты безопасности, связанные с API, обходятся глобальному бизнесу в 75 миллиардов долларов ежегодно.
Киберпреступники используют различные методы для атаки на конечные точки API, но одним из распространенных векторов атаки является захват учетной записи (ATO). Эта атака происходит, когда киберпреступники используют уязвимости в процессах аутентификации API для получения несанкционированного доступа к учетным записям. В 2023 году почти половина (45,8%) всех атак ATO были нацелены на конечные точки API. Эти попытки часто осуществляются автоматизацией в виде плохих ботов, программных агентов, которые выполняют автоматизированные задачи со злым умыслом. В случае успеха эти атаки могут заблокировать доступ клиентов к их учетным записям, предоставить преступникам конфиденциальные данные, привести к потере доходов и увеличить риск несоблюдения требований. Учитывая ценность данных, которыми банки и другие финансовые учреждения управляют для своих клиентов, ATO представляет собой серьезный бизнес-риск.
В своем отчете Imperva определила три распространенных типа неуправляемых конечных точек API, которые создают риски безопасности для организаций: теневые, устаревшие и не прошедшие проверку подлинности API.
Огромный объем интернет-трафика, проходящего через API, должен беспокоить каждого специалиста по безопасности. Несмотря на все усилия по внедрению фреймворков shift-left и процессов SDLC, API-интерфейсы часто все еще запускаются в производство до того, как они будут каталогизированы, аутентифицированы или проверены. В среднем организации имеют в производстве 613 конечных точек API, но это число быстро растет по мере того, как растет потребность в более быстром и эффективном предоставлении цифровых услуг клиентам. Со временем эти API могут стать опасными и уязвимыми конечными точками.
В своем отчете Imperva приходит к выводу, что API-интерфейсы в настоящее время являются обычным вектором атаки для киберпреступников, поскольку они представляют собой прямой путь к доступу к конфиденциальным данным. Фактически, исследование, проведенное Центром анализа киберрисков Марша Макленнана, показывает, что инциденты безопасности, связанные с API, обходятся глобальному бизнесу в 75 миллиардов долларов ежегодно.
Больше вызовов API, больше проблем
Банковское дело и онлайн-ритейл сообщили о самых высоких объемах обращений к API по сравнению с любой другой отраслью в 2023 году. Обе отрасли полагаются на большие экосистемы API для предоставления цифровых услуг своим клиентам. Поэтому неудивительно, что финансовые услуги, включая банковское дело, были основной целью атак, связанных с API, в 2023 году.Киберпреступники используют различные методы для атаки на конечные точки API, но одним из распространенных векторов атаки является захват учетной записи (ATO). Эта атака происходит, когда киберпреступники используют уязвимости в процессах аутентификации API для получения несанкционированного доступа к учетным записям. В 2023 году почти половина (45,8%) всех атак ATO были нацелены на конечные точки API. Эти попытки часто осуществляются автоматизацией в виде плохих ботов, программных агентов, которые выполняют автоматизированные задачи со злым умыслом. В случае успеха эти атаки могут заблокировать доступ клиентов к их учетным записям, предоставить преступникам конфиденциальные данные, привести к потере доходов и увеличить риск несоблюдения требований. Учитывая ценность данных, которыми банки и другие финансовые учреждения управляют для своих клиентов, ATO представляет собой серьезный бизнес-риск.
Почему неуправляемые API представляют угрозу безопасности
Снижение рисков для безопасности API - это уникальная задача, которая расстраивает даже самые опытные службы безопасности. Проблема связана с быстрыми темпами разработки программного обеспечения и отсутствием зрелых инструментов и процессов, помогающих разработчикам и группам безопасности работать более согласованно. В результате почти каждый десятый API-интерфейс уязвим для атак, поскольку он не был должным образом одобрен, не отслеживается или не имеет достаточных средств контроля подлинности.В своем отчете Imperva определила три распространенных типа неуправляемых конечных точек API, которые создают риски безопасности для организаций: теневые, устаревшие и не прошедшие проверку подлинности API.
- Теневые API-интерфейсы: Также известные как недокументированные или неоткрытые API-интерфейсы, это API-интерфейсы, которые неконтролируемы, о которых забыли и / или которые находятся вне поля зрения службы безопасности. По оценкам Imperva, теневые API составляют 4,7% от набора активных API каждой организации. Эти конечные точки вводятся по целому ряду причин — от тестирования программного обеспечения до использования в качестве соединителя с сервисом сторонних производителей. Проблемы возникают, когда эти конечные точки API не каталогизированы или не управляются должным образом. Компаниям следует опасаться теневых API, потому что они обычно имеют доступ к конфиденциальной информации, но никто не знает, где они существуют и к чему подключены. Единый теневой API-интерфейс может привести к нарушению соответствия требованиям и штрафу регулирующих органов, или, что еще хуже, мотивированный киберпреступник злоупотребит им, чтобы получить доступ к конфиденциальным данным организации.
- Устаревшие API: Отказ от конечной точки API является естественным продолжением жизненного цикла программного обеспечения. В результате наличие устаревших API-интерфейсов не является редкостью, поскольку программное обеспечение обновляется быстрыми и непрерывными темпами. Фактически, по оценкам Imperva, устаревшие API-интерфейсы в среднем составляют 2,6% от набора активных API-интерфейсов организации. Когда конечная точка устарела, службы, поддерживающие такие конечные точки, обновляются, и запрос к устаревшей конечной точке должен завершиться ошибкой. Однако, если сервисы не обновляются и API не удаляется, конечная точка становится уязвимой, поскольку на ней отсутствуют необходимые исправления и обновления программного обеспечения.
- Неаутентифицированные API-интерфейсы: Часто неаутентифицированные API-интерфейсы внедряются в результате неправильной настройки, недосмотра в результате ускоренного процесса выпуска или ослабления жесткого процесса аутентификации для адаптации к более старым версиям программного обеспечения. Эти API составляют в среднем 3,4% от набора активных API организации. Существование API без проверки подлинности представляет значительный риск для организаций, поскольку может предоставить конфиденциальные данные или функциональность неавторизованным пользователям и привести к утечке данных или манипулированию системой.
Как защитить ваши API
Imperva предлагает несколько рекомендаций, которые помогут организациям улучшить уровень безопасности API:- Обнаруживайте, классифицируйте и инвентаризируйте все API, конечные точки, параметры и полезные нагрузки. Используйте непрерывное обнаружение для поддержания постоянно обновляемой инвентаризации API и раскрытия конфиденциальных данных.
- Выявляйте и защищайте чувствительные API с высоким уровнем риска. Проводите оценку рисков, специально нацеленных на конечные точки API, уязвимые из-за сбоев в авторизации и аутентификации, а также чрезмерного раскрытия данных.
- Создайте надежную систему мониторинга конечных точек API для активного обнаружения и анализа подозрительного поведения и схем доступа.
- Внедрите подход к обеспечению безопасности API, который объединяет брандмауэр веб-приложений (WAF), защиту API, предотвращение распределенного отказа в обслуживании (DDoS) и защиту от ботов. Широкий спектр вариантов смягчения последствий обеспечивает гибкость и расширенную защиту от все более изощренных угроз API, таких как атаки на бизнес—логику, от которых особенно сложно защититься, поскольку они уникальны для каждого API.
