%20(1).png)
Цифровизация бизнеса и необходимость постоянной интеграции привели к тому, что API (программные интерфейсы приложений) стали жизненно важным компонентом информационных систем, которые обеспечивают сквозное взаимодействие и обмен данными между различными сервисами.
Широкое использование API сделало их одной из основных целей кибератак, подвергая компании рискам утечки данных, несанкционированного доступа и недоступности ключевых систем для клиентов. И по некоторым прогнозам этот тренд будет только усиливаться: API Statistics (Statista) предсказывает в ближайшие 4 года увеличение количества вызовов в пять раз.
В 2019 году в целях повышения осведомлённости по вопросам безопасности API-проект Open Web Application Security Project (OWASP) определил в документе перечень наиболее опасных угроз (Top 10 API Security Risks). На основе анализа данных с различных площадок Bug Bounty и публичных инцидентов в 2023 году был существенно обновлён перечень наиболее актуальных трендов и угроз. Изменения коснулись популярности некоторых протоколов API, появления новых методов и техник их компрометации, а также новых способов защиты.
ЧТО ПОМЕНЯЛОСЬ В 2023 ГОДУ
Самой значимой проблемой остаётся авторизация. Три пункта наиболее опасных угроз связаны именно с уязвимостями механизмов авторизации и управлением доступом. Современные приложения на основе API становятся всё более сложными — с тысячами конечных точек и бесчисленным количеством параметров. Когда в эту запутанную сеть добавляется иерархия пользователей и организаций, то становится сложно понять, кто и к чему в действительности имеет доступ.
Также стоит отметить появление новой угрозы Unrestricted Access to Sensitive Business Flows, реализация которой из-за недостаточной проработки или ошибок в логике критических технологических цепочек бизнес-процессов приводит к возможности выполнения мошеннических операций. Это в очередной раз подчёркивает важность не только безопасного кодирования, но и планирования и проектирования безопасной архитектуры приложений. Поскольку API-интерфейсы обеспечивают лёгкий доступ для ботов, крайне важно определить критичные потоки данных и выбрать соответствующие меры защиты для них.
Подделка запросов на стороне сервера (SSRF) также была добавлена в список актуальных угроз. Хотя SSRF не является новой уязвимостью, в настоящее время она стала более распространённой именно в приложениях на основе API. Популярность веб-хуков упростила хакерам использование уязвимостей SSRF. Кроме того, REST API-интерфейсы для управления и контроля облачных сервисов, K8S и Docker также упрощают эксплуатацию уязвимостей.
TОП-10
Общий же перечень OWASP Top-10 API Security Risks 2023 выглядит так:
API 1: 2023 — Broken Object Level Authorization
API обычно представляют конечные точки, которые обрабатывают идентификаторы объектов, создавая широкую поверхность атаки на контроль доступа на уровне объектов. Проверки авторизации на уровне объектов должны быть предусмотрены в каждой функции, которая получает доступ к источникам данных, используя идентификатор пользователя.
API 2: 2023 — Broken Authentication
Механизмы аутентификации часто реализуются некорректно, что позволяет злоумышленникам компрометировать токены аутентификации или использовать ошибки реализации, чтобы временно или постоянно выдавать себя за другого пользователя. Компрометация способности системы идентифицировать клиента/пользователя подрывает безопасность API в общем случае.
API 3: 2023 — Broken Object Property Level Authorization
Эта категория объединяет API 3: 2019 Excessive Data Exposure и API 6: 2019 — Mass Assignment, фокусируясь на первопричине — отсутствии или неправильной проверке авторизации на уровне свойства объекта. Это приводит к раскрытию информации или несанкционированным манипуляциям ею.
API 4: 2023 — Unrestricted Resource Consumption
Обработка API-запросов требует ресурсов на уровне сети, вычислительных мощностей, оперативной памяти и места для хранения данных. Эти и другие ресурсы системы, например отправленная электронная почта / SMS / телефонные звонки или выполненные проверки биометрических данных, предоставляются поставщиками и оплачиваются за каждый запрос. Успешные атаки могут привести к отказу в обслуживании или увеличению операционных затрат.
API 5: 2023 — Broken Function Level Authorization
Сложные политики контроля доступа со сложной иерархией, структурой групп и ролей, а также неясным разделением между привилегированными и обычными функциями часто приводят к ошибкам авторизации. Злоумышленники могут получить доступ к ресурсам других пользователей и/или административным функциям, эксплуатируя эти недостатки.
API 6: 2023 — Unrestricted Access to Sensitive Business Flows
API, уязвимые для этого риска, задействованы в критических технологических цепочках, обеспечивающих бизнес-процессы продукта. Они предполагают возможность фрода, например, при покупке билета или публикации комментария, без учёта того, как злоумышленники могут использовать эти функции в автоматическом режиме для извлечения прибыли и нанесении вреда бизнесу. Это может происходить не только из-за ошибок в реализации, но и из-за ошибок в логике. Также сюда можно отнести ситуации, когда разработчики рассчитывают, что пользователь пойдёт по цепочке API1 > API2 > API3 > API4, но не объединяют это в одну целостную транзакцию. В итоге это может привести к тому, что злоумышленник может сразу прийти в API4, чтобы получить тот же результат.
API 7: 2023 — Server-Side Request Forgery
Угрозы подделки запросов на стороне сервера (SSRF) могут возникать, когда API запрашивает удалённый ресурс URI, предоставленный пользователем без проверки безопасности. Это позволяет злоумышленнику заставить приложение отправить специально подготовленный запрос на внешний сервер, даже если этот трафик запрещён на межсетевом экране.
API 8: 2023 — Security Misconfiguration
API и системы, обеспечивающие их, обычно содержат большое количество настроек, предназначенных для увеличения гибкости. Разработчики и DevOps-инженеры могут допустить ошибки в этих конфигурациях или не учесть лучшие практики безопасности при их конфигурировании, оставляя возможность для дальнейших атак.
API 9: 2023 — Improper Inventory Management
API обычно публикуется на большем количестве конечных точек, чем традиционные веб-приложения, поэтому корректная и актуальная документация является крайне важной. Также важна инвентаризация конечных точек и развёрнутых на них версий API для своевременного обнаружения недостатков, связанных с устаревшими версиями API или раскрытием отладочной информации.
API 10: 2023 — Unsafe Consumption of APIs
Разработчики склонны доверять данным, полученным из сторонних API, больше, чем пользовательскому вводу, и поэтому, как правило, применяют менее строгие контроли. Чтобы скомпрометировать API, злоумышленники могут атаковать сторонние сервисы вместо того, чтобы пытаться напрямую скомпрометировать целевой API.
ЗАЩИТА API ГЛАЗАМИ OWASP
Фреймворк Top 10 API Security Risk не только перечень актуальных рисков для API компании, но и методологическая основа для их анализа, митигации и внедрения риск-ориентированного подхода. У каждого риска присутствует ряд важных атрибутов.
Threat agents/Attack vectors — определение источника угрозы или вектора атаки.
Security Weakness — описание недостатков, которые могут быть использованы.
Impacts — предположения о возможном вреде, который может быть нанесён организации в результате реализации риска.
Is the API Vulnerable? — описание признаков, которые позволяют определить, уязвимо ли API.
Example Attack Scenarios — детальные примеры сценариев атак, основанные на реальных кейсах.
How To Prevent — практики и меры безопасности, которые помогают предотвращать атаки и митигировать риски.
References — ссылки на подобные уязвимости, утечки и рекомендации по защите.
Идентификация рисков является лишь первым шагом, после которого экспертная команда безопасности должна определить уязвимые API и приоритетные меры по их защите. Фреймворк имеет потенциал использования в качестве доверенного источника знаний для команды разработки, администрирования, мониторинга и реагирования на инциденты. Они могут использовать его, например, в качестве чек-листа по защите.
OWASP предлагает следующие практики:
Но самым важным результатом использования данного фреймворка стоит считать повышение осведомлённости в области защиты веб-приложений. Полноценная митигация угроз API невозможна без повышения уровня зрелости процессов безопасной разработки приложений, а также общей культуры ИБ в организации.
Конечно, фреймворки OWASP никогда не были пошаговой инструкцией для построения безопасного продукта или API. OWASP агрегирует актуальную информацию и подаёт её в виде удобных справочников, поэтому он так популярен в ИТ-сообществе. За каждой приведённой практикой стоит множество нюансов, о многих из которых не получится узнать из открытых источников. Это обуславливает ценность именно опытных специалистов в области ИБ, которые могут вовремя отследить риски безопасности и грамотно применить необходимые инструменты и практики.
Надёжная безопасность API — это уже фундаментальная необходимость, тренд, к которому должны быть готовы специалисты ИТ- и ИБ-индустрии. Проблемы с безопасностью API могут иметь далеко идущие последствия, оказывая негативное влияние не только на прибыль, но и клиентскую лояльность. Поэтому организации должны применять проактивный подход к отслеживанию угроз и поиску новых инструментов защиты, проводить регулярные аудиты и тестирования.
.png)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
