API Management 2.0: российский софт на страже защиты от кибератак

У каждой компании есть свой необходимый набор API. Благодаря распространению микросервисной архитектуры, количество API и объем трафика проходящего через них увеличиваются ежегодно. Использование API обеспечивает удобную и надежную связь между приложениями, но требует технической поддержки инфраструктуры API и обеспечения защиты передаваемых данных.

Управление имеющимися API выделяют в методологию API Management — набор фреймворков, которые помогают разработчикам и компаниям создавать, анализировать, применять и масштабировать интерфейсы API в безопасном исполнении.

С другой стороны, существует подход API First, предполагающий восприятие API, как основной части приложения. При этом логично выделять и сам процесс разработки API в отдельном цикле, который включает несколько этапов и ориентирован на достижение сочетания качества, скорости и безопасности.

Безопасность разработки и использования API

Если перед вами уже стоит задача снижения рисков атак на API или вы задумываетесь о сокращении эксплуатируемых уязвимостей веб-приложениях, то стоит ближе познакомиться с программными продуктами компании Вебмониторэкс для защиты API. О них пойдет речь далее.

Продукт «ПроAPI Структура»

Актуальные проблемы с API связаны с их активным повсеместным применением. Чаще всего компании сталкиваются с такими:

• В инфраструктуре становится так много версий API с разными параметрами, что пропадает понимание, какие эндпоинты несут наибольшую угрозу.
• Непонятно, что происходит с API от момента дизайна до публикации.
• Без требований к API не получается организовать процесс их контроля, а при наличии требований — не получается автоматизировать.

Преодолеть эти трудности можно с помощью продукта «ПроAPI Структура» от компании Вебмониторэкс. В задачи этого продукта входит обеспечение наблюдаемости всех API, имеющихся в инфраструктуре, и их отображение в виде OpenAPI спецификации.

Рис. 1. Интерфейс продукта «ПроAPI Структура»

Построение структуры API происходит на основании статистики запросов на эндпойнты. Редкие или одиночные запросы определяются как шум и не учитываются в структуре API. За счет этого становится возможно:

• определить публичные и внутренние API;
• понять через какие API передается чувствительная информация, например, персональные данные;
• отфильтровать эндпойнты подвергающиеся атаке;
• отследить изменения в структуре API за выбранный промежуток времени;
• получить полный список вредоносных запросов, направленных на конкретный эндпойнт;
• скачать построенную структуру в формате OpenAPI 3.0;
• настроить правила межсетевого экрана, являющегося еще одним продуктом в линейке «Вебмониторэкс»;
• загрузить OpenAPI спецификацию (OAS) и сравнить ее с фактически трафиком.

Рис. 2. Подробная информация в интерфейсе продукта «ПроAPI Структура»

Благодаря функции сравнения спецификации появляется возможность выявлять среди обнаруженных API:

• теневые (shadow) API (скрытый, недокументированный API, который не был описан в OAS, но на него есть трафик);
• неиспользуемые (orphan) API (обозначенный роут в загруженной спецификации без трафика);
• призрачный (zombie) API (API был описан в спецификации, затем удален из нее, но все равно продукт фиксирует трафик на него).

Подробнее о сравнения спецификаций можно узнать в документации продукта.

Набор функциональностей, реализованных в этом продукте предназначен для использования в процессе управления API компании на разных стадиях зрелости. Более подробно о продукте «ПроAPI Структура» и его возможностях можно узнать из нашей документации.

Продукт «ПроAPI Защита»

Существует множество различных способов защиты веб-приложений, и наибольшую популярность получили решения основанные на негативной модели защиты. Эта модель предполагает, что никаким запросам нельзя доверять. Продукт «ПроAPI Защита» от компании Вебмониторэкс работает на основе такой модели.

Это межсетевой экран в форм-факторе высокопроизводительного прокси-сервера, который обрабатывает трафик на основе спецификации OpenAPI v3 или GraphQL с целью защиты конечных точек приложения. «ПроAPI Защита» — передовой продукт, разработанный для проверки запросов и ответов веб-приложений.

Продукт оперирует на основе позитивной модели безопасности, что означает, что только те запросы, которые полностью соответствуют спецификации API, будут пропущены. Все запросы, которые не указаны в Open API Specification (OAS) будут автоматически заблокированы как потенциально небезопасные, обеспечивая надежную защиту вашего приложения от угроз.

Работа в режиме мониторинга обеспечит обнаружение теневых API и недокументированных конечных точек API и регистрацию некорректных запросов и ответов, которые не соответствуют спецификации.

«ПроAPI Защита» — надежный инструмент для обнаружения Shadow API (недокументированные конечные точки API, которые могут содержать устаревшую или небезопасную информацию и стать причиной утечек данных или компрометации системы).

Использование этого продукта для защиты REST API гарантирует обеспечение безопасности веб-приложений, а также валидирует JWT-токены в OAuth 2.0 аутентификации для повышения безопасности при работе с данными.

Продукт «ПроAPI Тест»

Еще одна актуальная проблема — своевременное выявление различных ошибок и уязвимостей в API и веб-приложениях. Чтобы оперативно реагировать на такие прорехи в безопасности, компания Вебмониторэкс разработала продукт «ПроAPI Тест».

Этот продукт для тестирования API представляет собой комплексный инструмент, способный быстро обнаружить даже самые сложные уязвимости, например, 0-day.

«ПроAPI Тест» умеет самостоятельно разбирать OpenAPI 3.0 спецификации и на основе них строить тесты защищенности роутов и их параметров. Для каждого эндпоинта и передаваемых внутри него параметров динамически составляется набор тестов на безопасность, включающий различные типы payload, начиная от SQL-инъекций и заканчивая SSRF.

Важная отличительная особенность продукта — гибкие политики тестирования для адаптации тестирования под конкретные потребности любого проекта.

Интеграция с продуктом «ПроAPI Структура» значительно упрощает процесс внедрения «ПроAPI Тест», так как обеспечит возможность пропустить шаг с первичным написанием спецификации вручную. Пользователям больше не нужно тратить время на первичное описание API, спецификация будет сформирована автоматически на основе анализа трафика. Благодаря этой интеграции, «ПроAPI Тест» поможет быстро адаптироваться к изменениям в API, обеспечит моментальный анализ новых роутов и параметров, обнаруженных в структуре API.

Вывод

Чтобы оперативно реагировать на изменения, обеспечивать безопасность своих веб-приложений и API, а также реализовать широкий спектр возможностей обнаружения уязвимостей на основании их структуры и трафика, нужен комплексный подход. Безопасная разработка и защита API выходит на первый план. Меры, принятые для сохранения и стабилизации работы программных интерфейсов приложений, гарантируют снижение рисков утечек данных, рост их защищенности и, как следствие, сохранение бизнеса. Получить подробную информацию о пилотировании продуктов компании Вебмониторэкс можно на сайте.