Tоп-10 API Security Risks 2023. Угрозы безопасности API и меры по его защите на основе OWASP

BIS Journal №4(51)2023

16 ноября, 2023

Tоп-10 API Security Risks 2023. Угрозы безопасности API и меры по его защите на основе OWASP

Цифровизация бизнеса и необходимость постоянной интеграции привели к тому, что API (программные интерфейсы приложений) стали жизненно важным компонентом информационных систем, которые обеспечивают сквозное взаимодействие и обмен данными между различными сервисами.

Широкое использование API сделало их одной из основных целей кибератак, подвергая компании рискам утечки данных, несанкционированного доступа и недоступности ключевых систем для клиентов. И по некоторым прогнозам этот тренд будет только усиливаться: API Statistics (Statista) предсказывает в ближайшие 4 года увеличение количества вызовов в пять раз.

В 2019 году в целях повышения осведомлённости по вопросам безопасности API-проект Open Web Application Security Project (OWASP) определил в документе перечень наиболее опасных угроз (Top 10 API Security Risks). На основе анализа данных с различных площадок Bug Bounty и публичных инцидентов в 2023 году был существенно обновлён перечень наиболее актуальных трендов и угроз. Изменения коснулись популярности некоторых протоколов API, появления новых методов и техник их компрометации, а также новых способов защиты. 

 

ЧТО ПОМЕНЯЛОСЬ В 2023 ГОДУ

Самой значимой проблемой остаётся авторизация. Три пункта наиболее опасных угроз связаны именно с уязвимостями механизмов авторизации и управлением доступом. Современные приложения на основе API становятся всё более сложными — с тысячами конечных точек и бесчисленным количеством параметров. Когда в эту запутанную сеть добавляется иерархия пользователей и организаций, то становится сложно понять, кто и к чему в действительности имеет доступ.

Также стоит отметить появление новой угрозы Unrestricted Access to Sensitive Business Flows, реализация которой из-за недостаточной проработки или ошибок в логике критических технологических цепочек бизнес-процессов приводит к возможности выполнения мошеннических операций. Это в очередной раз подчёркивает важность не только безопасного кодирования, но и планирования и проектирования безопасной архитектуры приложений. Поскольку API-интерфейсы обеспечивают лёгкий доступ для ботов, крайне важно определить критичные потоки данных и выбрать соответствующие меры защиты для них.

Подделка запросов на стороне сервера (SSRF) также была добавлена в список актуальных угроз. Хотя SSRF не является новой уязвимостью, в настоящее время она стала более распространённой именно в приложениях на основе API. Популярность веб-хуков упростила хакерам использование уязвимостей SSRF. Кроме того, REST API-интерфейсы для управления и контроля облачных сервисов, K8S и Docker также упрощают эксплуатацию уязвимостей.

 

TОП-10

Общий же перечень OWASP Top-10 API Security Risks 2023 выглядит так:

API 1: 2023 — Broken Object Level Authorization

API обычно представляют конечные точки, которые обрабатывают идентификаторы объектов, создавая широкую поверхность атаки на контроль доступа на уровне объектов. Проверки авторизации на уровне объектов должны быть предусмотрены в каждой функции, которая получает доступ к источникам данных, используя идентификатор пользователя.

API 2: 2023 — Broken Authentication

Механизмы аутентификации часто реализуются некорректно, что позволяет злоумышленникам компрометировать токены аутентификации или использовать ошибки реализации, чтобы временно или постоянно выдавать себя за другого пользователя. Компрометация способности системы идентифицировать клиента/пользователя подрывает безопасность API в общем случае.

API 3: 2023 — Broken Object Property Level Authorization

Эта категория объединяет API 3: 2019 Excessive Data Exposure и API 6: 2019 — Mass Assignment, фокусируясь на первопричине — отсутствии или неправильной проверке авторизации на уровне свойства объекта. Это приводит к раскрытию информации или несанкционированным манипуляциям ею.

API 4: 2023 — Unrestricted Resource Consumption

Обработка API-запросов требует ресурсов на уровне сети, вычислительных мощностей, оперативной памяти и места для хранения данных. Эти и другие ресурсы системы, например отправленная электронная почта / SMS / телефонные звонки или выполненные проверки биометрических данных, предоставляются поставщиками и оплачиваются за каждый запрос. Успешные атаки могут привести к отказу в обслуживании или увеличению операционных затрат.

API 5: 2023 — Broken Function Level Authorization

Сложные политики контроля доступа со сложной иерархией, структурой групп и ролей, а также неясным разделением между привилегированными и обычными функциями часто приводят к ошибкам авторизации. Злоумышленники могут получить доступ к ресурсам других пользователей и/или административным функциям, эксплуатируя эти недостатки.

API 6: 2023 — Unrestricted Access to Sensitive Business Flows

API, уязвимые для этого риска, задействованы в критических технологических цепочках, обеспечивающих бизнес-процессы продукта. Они предполагают возможность фрода, например, при покупке билета или публикации комментария, без учёта того, как злоумышленники могут использовать эти функции в автоматическом режиме для извлечения прибыли и нанесении вреда бизнесу. Это может происходить не только из-за ошибок в реализации, но и из-за ошибок в логике. Также сюда можно отнести ситуации, когда разработчики рассчитывают, что пользователь пойдёт по цепочке API1 > API2 > API3 > API4, но не объединяют это в одну целостную транзакцию. В итоге это может привести к тому, что злоумышленник может сразу прийти в API4, чтобы получить тот же результат.

API 7: 2023 — Server-Side Request Forgery

Угрозы подделки запросов на стороне сервера (SSRF) могут возникать, когда API запрашивает удалённый ресурс URI, предоставленный пользователем без проверки безопасности. Это позволяет злоумышленнику заставить приложение отправить специально подготовленный запрос на внешний сервер, даже если этот трафик запрещён на межсетевом экране.

API 8: 2023 — Security Misconfiguration

API и системы, обеспечивающие их, обычно содержат большое количество настроек, предназначенных для увеличения гибкости. Разработчики и DevOps-инженеры могут допустить ошибки в этих конфигурациях или не учесть лучшие практики безопасности при их конфигурировании, оставляя возможность для дальнейших атак.

API 9: 2023 — Improper Inventory Management

API обычно публикуется на большем количестве конечных точек, чем традиционные веб-приложения, поэтому корректная и актуальная документация является крайне важной. Также важна инвентаризация конечных точек и развёрнутых на них версий API для своевременного обнаружения недостатков, связанных с устаревшими версиями API или раскрытием отладочной информации.

API 10: 2023 — Unsafe Consumption of APIs

Разработчики склонны доверять данным, полученным из сторонних API, больше, чем пользовательскому вводу, и поэтому, как правило, применяют менее строгие контроли. Чтобы скомпрометировать API, злоумышленники могут атаковать сторонние сервисы вместо того, чтобы пытаться напрямую скомпрометировать целевой API.

 

ЗАЩИТА API ГЛАЗАМИ OWASP

Фреймворк Top 10 API Security Risk не только перечень актуальных рисков для API компании, но и методологическая основа для их анализа, митигации и внедрения риск-ориентированного подхода. У каждого риска присутствует ряд важных атрибутов.

Threat agents/Attack vectors — определение источника угрозы или вектора атаки.

Security Weakness — описание недостатков, которые могут быть использованы.

Impacts — предположения о возможном вреде, который может быть нанесён организации в результате реализации риска.

Is the API Vulnerable? — описание признаков, которые позволяют определить, уязвимо ли API.

Example Attack Scenarios — детальные примеры сценариев атак, основанные на реальных кейсах.

How To Prevent — практики и меры безопасности, которые помогают предотвращать атаки и митигировать риски.

References — ссылки на подобные уязвимости, утечки и рекомендации по защите.

Идентификация рисков является лишь первым шагом, после которого экспертная команда безопасности должна определить уязвимые API и приоритетные меры по их защите. Фреймворк имеет потенциал использования в качестве доверенного источника знаний для команды разработки, администрирования, мониторинга и реагирования на инциденты. Они могут использовать его, например, в качестве чек-листа по защите.

OWASP предлагает следующие практики:

  • Authentication — Проверка подлинности пользователей, обращающихся к API;
  • Authorization — Определение прав и полномочий пользователей;
  • Data Redaction — Скрытие, маскировка или обезличивание конфиденциальных данных;
  • Encryption — Шифрование данных и контроль прав при расшифровке;
  • Error Handling — Безопасное управление ответами об ошибках или проблемах, позволяющее избежать раскрытия конфиденциальных данных;
  • Input Validation & Data Sanitization — Проверка входных данных от пользователей и удаление вредоносных частей;
  • Intrusion Detection Systems — Мониторинг аномальной сетевой активности;
  • IP Whitelisting — Формирование перечня доверенных IP-адресов, с которых возможно обращение к API;
  • Logging and Monitoring — Постоянный мониторинг и детальное логирование обращений к API;
  • Rate Limiting — Ограничение частоты обращений пользователей и объёма передаваемых данных для предотвращения отказа в обслуживании;
  • Secure Dependencies — Проверка отсутствия уязвимостей в используемом стороннем коде;
  • Security Headers — Повышение безопасности front-сервисов против таких типов атак, как XSS;
  • Token Expiry — Ограничение жизни токенов доступа и их регулярное обновление;
  • Use of Security Standards and Frameworks — Определение и совершенствование стратегии безопасности API;
  • Web Application Firewall — Защита веб-приложений от специфических атак на прикладном уровне;
  • API Versioning — Одновременная поддержка нескольких версий API для возможности их непрерывного обновления;

 

Но самым важным результатом использования данного фреймворка стоит считать повышение осведомлённости в области защиты веб-приложений. Полноценная митигация угроз API невозможна без повышения уровня зрелости процессов безопасной разработки приложений, а также общей культуры ИБ в организации.

Конечно, фреймворки OWASP никогда не были пошаговой инструкцией для построения безопасного продукта или API. OWASP агрегирует актуальную информацию и подаёт её в виде удобных справочников, поэтому он так популярен в ИТ-сообществе. За каждой приведённой практикой стоит множество нюансов, о многих из которых не получится узнать из открытых источников. Это обуславливает ценность именно опытных специалистов в области ИБ, которые могут вовремя отследить риски безопасности и грамотно применить необходимые инструменты и практики.

Надёжная безопасность API — это уже фундаментальная необходимость, тренд, к которому должны быть готовы специалисты ИТ- и ИБ-индустрии. Проблемы с безопасностью API могут иметь далеко идущие последствия, оказывая негативное влияние не только на прибыль, но и клиентскую лояльность. Поэтому организации должны применять проактивный подход к отслеживанию угроз и поиску новых инструментов защиты, проводить регулярные аудиты и тестирования.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.05.2024
15-я конференция Школы IT-менеджмента «Экономика данных. Вызовы и перспективы»
22.05.2024
Возможность договориться и слепота регуляторов на местах. Что ещё вывело Россию в лидеры по майнингу?
21.05.2024
Запись звонков в режиме реального времени граничит с нарушением неприкосновенности частной жизни
21.05.2024
Банк России рекомендовал финорганизациям усилить контроль за своими платёжными агентами
21.05.2024
Обязательное импортозамещение в организациях затормозилось
21.05.2024
Указания ЦБ РФ свидетельствуют о том, что он контролирует процессы импортозамещения
21.05.2024
Минэк рассказал, как нужно защищать отечественные ИТ-решения
21.05.2024
В Минцифры рассказали о планах на антифрод-направлении
21.05.2024
У экспертов есть сомнения, что банки успеют импортозаместиться в срок
21.05.2024
В России арестовали активы нескольких европейских банков

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных