Решения в области безопасности API

API уникальны благодаря множеству характеристик. Например, API обмениваются данными между системами, в то время как доступ к веб-приложениям осуществляется конечными пользователями через веб-браузер. API также используют другой формат для передачи данных и получают прямой доступ к внутренним системам, часто выступая в качестве посредника между современными веб-приложениями и их внутренними базами данных и серверами. Из-за этих и других различий методология обнаружения угроз безопасности API отличается от безопасности веб-приложений, даже в таких пересекающихся категориях уязвимостей, как атаки через внедрение кода SQL и риски доступа.

Существует несколько различных подходов к управлению ростом API: управление API на протяжении всего жизненного цикла, наблюдаемость API и, более комплексно, защита веб-приложений и API (WAAP). Инструменты для наблюдения за API обеспечивают скорее возможность наблюдения и понимания работы API, а не безопасность. Управление API на протяжении всего жизненного цикла часто сосредоточено на управлении API, но при этом не имеет достаточного уровня безопасности. WAAP, или защита веб-приложений, определяется Gartner как категория решений безопасности, предназначенных для защиты веб-приложений независимо от места их размещения. WAAP больше всего подходит для производственных API, мониторинга в реальном времени и защиты от злоупотреблений, угроз «нулевого дня» и злоумышленников.

API REST позволяют клиенту запрашивать ресурсы у сервера, который возвращает информацию клиенту в ее текущем состоянии. Злоумышленники могут атаковать API в любой момент во время «вызова и ответа» API REST. Поэтому для предотвращения злоупотреблений API REST необходимо разрешать только аутентифицированный, «хороший» трафик API, чтобы блокировать запросы от нелегитимных клиентов. Методы аутентификации и авторизации API включают сертификаты mTLS, веб-токены JSON, действительные ключи API, токены OAuth 2.0 и другие.

Ключи доступа к API, которые отделяют аутентификацию от учетных данных пользователя и вместо этого отправляют секретные текстовые строки вместе с запросами к API, обеспечивают более безопасный доступ к API. Однако ключи API все еще могут быть подвержены рискам, связанным с атаками типа «человек посередине», неправильным использованием разработчиками и проблемами с хранением секретов в исходном коде. Веб-токены JSON (JWT) являются более безопасной и гибкой альтернативой статическим ключам API, если JWT подписаны с использованием безопасных криптографических алгоритмов, не содержат конфиденциальных данных в полезной нагрузке и обеспечивают истечение срока действия токена.

Различные показатели могут помочь специалистам по ИТ, безопасности и разработке приложений оценить уровень безопасности API. Например, организация с надежной моделью безопасности API должна иметь актуальный перечень активов API, который показывает, что все API соответствуют требованиям к данным и используют надежные методы аутентификации или авторизации. Также необходимо провести аудит для выявления раскрытых/утекших учетных данных, используемых в запросах API, и проверить наличие персональной идентифицирующей информации (PII), данных кредитных карт или персональной медицинской информации в запросах/ответах API. Возможность устанавливать адаптивные, интеллектуальные ограничения скорости для API, определяемые на основе наблюдаемых моделей трафика для каждой конечной точки, также свидетельствует о более высоком уровне безопасности API.

Под злоупотреблением API понимается злонамеренная эксплуатация API путем использования недостатков бизнес-логики и уязвимостей приложения, которые мешают или ухудшают пользовательский опыт реального пользователя. Чаще всего в современных API раскрытие данных, несанкционированные действия, обход средств защиты, нарушение работы сервисов и повышение привилегий происходят из-за отсутствия средств аутентификации и авторизации, известных как нарушенная авторизация на уровне объекта (BOLA) и нарушенная авторизация на уровне функции (BFLA).