API Management 2.0: российский софт на страже защиты от кибератак

У каждой компании есть свой необходимый набор API. Благодаря распространению микросервисной архитектуры, количество API и объем трафика проходящего через них увеличиваются ежегодно. Использование API обеспечивает удобную и надежную связь между приложениями, но требует технической поддержки инфраструктуры API и обеспечения защиты передаваемых данных.

Управление имеющимися API выделяют в методологию API Management — набор фреймворков, которые помогают разработчикам и компаниям создавать, анализировать, применять и масштабировать интерфейсы API в безопасном исполнении.

С другой стороны, существует подход API First, предполагающий восприятие API, как основной части приложения. При этом логично выделять и сам процесс разработки API в отдельном цикле, который включает несколько этапов и ориентирован на достижение сочетания качества, скорости и безопасности.

Безопасность разработки и использования API

Если перед вами уже стоит задача снижения рисков атак на API или вы задумываетесь о сокращении эксплуатируемых уязвимостей веб-приложениях, то стоит ближе познакомиться с программными продуктами компании Вебмониторэкс для защиты API. О них пойдет речь далее.

Продукт «ПроAPI Структура»

Актуальные проблемы с API связаны с их активным повсеместным применением. Чаще всего компании сталкиваются с такими:

• В инфраструктуре становится так много версий API с разными параметрами, что пропадает понимание, какие эндпоинты несут наибольшую угрозу.
• Непонятно, что происходит с API от момента дизайна до публикации.
• Без требований к API не получается организовать процесс их контроля, а при наличии требований — не получается автоматизировать.

Преодолеть эти трудности можно с помощью продукта «ПроAPI Структура» от компании Вебмониторэкс. В задачи этого продукта входит обеспечение наблюдаемости всех API, имеющихся в инфраструктуре, и их отображение в виде OpenAPI спецификации.

Рис. 1. Интерфейс продукта «ПроAPI Структура»

Построение структуры API происходит на основании статистики запросов на эндпойнты. Редкие или одиночные запросы определяются как шум и не учитываются в структуре API. За счет этого становится возможно:

• определить публичные и внутренние API;
• понять через какие API передается чувствительная информация, например, персональные данные;
• отфильтровать эндпойнты подвергающиеся атаке;
• отследить изменения в структуре API за выбранный промежуток времени;
• получить полный список вредоносных запросов, направленных на конкретный эндпойнт;
• скачать построенную структуру в формате OpenAPI 3.0;
• настроить правила межсетевого экрана, являющегося еще одним продуктом в линейке «Вебмониторэкс»;
• загрузить OpenAPI спецификацию (OAS) и сравнить ее с фактически трафиком.

Рис. 2. Подробная информация в интерфейсе продукта «ПроAPI Структура»

Благодаря функции сравнения спецификации появляется возможность выявлять среди обнаруженных API:

• теневые (shadow) API (скрытый, недокументированный API, который не был описан в OAS, но на него есть трафик);
• неиспользуемые (orphan) API (обозначенный роут в загруженной спецификации без трафика);
• призрачный (zombie) API (API был описан в спецификации, затем удален из нее, но все равно продукт фиксирует трафик на него).

Подробнее о сравнения спецификаций можно узнать в документации продукта.

Набор функциональностей, реализованных в этом продукте предназначен для использования в процессе управления API компании на разных стадиях зрелости. Более подробно о продукте «ПроAPI Структура» и его возможностях можно узнать из нашей документации.

Продукт «ПроAPI Защита»

Существует множество различных способов защиты веб-приложений, и наибольшую популярность получили решения основанные на позитивной модели защиты. Продукт «ПроAPI Защита» от компании Вебмониторэкс работает на основе такой модели.

Это межсетевой экран в форм-факторе высокопроизводительного прокси-сервера, который обрабатывает трафик на основе спецификации OpenAPI v3 или GraphQL с целью защиты конечных точек приложения. «ПроAPI Защита» — передовой продукт, разработанный для проверки запросов и ответов веб-приложений.

Продукт оперирует на основе позитивной модели безопасности, что означает, что только те запросы, которые полностью соответствуют спецификации API, будут пропущены. Все запросы, которые не указаны в Open API Specification (OAS) будут автоматически заблокированы как потенциально небезопасные, обеспечивая надежную защиту вашего приложения от угроз.

Работа в режиме мониторинга обеспечит обнаружение теневых API и недокументированных конечных точек API и регистрацию некорректных запросов и ответов, которые не соответствуют спецификации.

«ПроAPI Защита» — надежный инструмент для обнаружения Shadow API (недокументированные конечные точки API, которые могут содержать устаревшую или небезопасную информацию и стать причиной утечек данных или компрометации системы).

Использование этого продукта для защиты REST API гарантирует обеспечение безопасности веб-приложений, а также валидирует JWT-токены в OAuth 2.0 аутентификации для повышения безопасности при работе с данными.

Продукт «ПроAPI Тест»

Еще одна актуальная проблема — своевременное выявление различных ошибок и уязвимостей в API и веб-приложениях. Чтобы оперативно реагировать на такие прорехи в безопасности, компания Вебмониторэкс разработала продукт «ПроAPI Тест».

Этот продукт для тестирования API представляет собой комплексный инструмент, способный быстро обнаружить даже самые сложные уязвимости, например, 0-day.

«ПроAPI Тест» умеет самостоятельно разбирать OpenAPI 3.0 спецификации и на основе них строить тесты защищенности роутов и их параметров. Для каждого эндпоинта и передаваемых внутри него параметров динамически составляется набор тестов на безопасность, включающий различные типы payload, начиная от SQL-инъекций и заканчивая SSRF.

Важная отличительная особенность продукта — гибкие политики тестирования для адаптации тестирования под конкретные потребности любого проекта.

Интеграция с продуктом «ПроAPI Структура» значительно упрощает процесс внедрения «ПроAPI Тест», так как обеспечит возможность пропустить шаг с первичным написанием спецификации вручную. Пользователям больше не нужно тратить время на первичное описание API, спецификация будет сформирована автоматически на основе анализа трафика. Благодаря этой интеграции, «ПроAPI Тест» поможет быстро адаптироваться к изменениям в API, обеспечит моментальный анализ новых роутов и параметров, обнаруженных в структуре API.

Вывод

Чтобы оперативно реагировать на изменения, обеспечивать безопасность своих веб-приложений и API, а также реализовать широкий спектр возможностей обнаружения уязвимостей на основании их структуры и трафика, нужен комплексный подход. Безопасная разработка и защита API выходит на первый план. Меры, принятые для сохранения и стабилизации работы программных интерфейсов приложений, гарантируют снижение рисков утечек данных, рост их защищенности и, как следствие, сохранение бизнеса. Получить подробную информацию о пилотировании продуктов компании Вебмониторэкс можно на сайте.