Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Предотвращение атак ботов и онлайн-мошенничества в отношении API
Главная » Кибербезопасность » Безопасность приложений » Предотвращение атак ботов и онлайн-мошенничества с использованием API
Быстрое распространение интерфейсов прикладного программирования (API) стимулирует цифровую трансформацию, что приводит к взрывному росту внедрения API в последние годы. На самом деле, трудно представить какое-либо программное обеспечение, которое не использует API или не является само по себе API. Поддерживая быструю разработку и развертывание, они помогают разработчикам быстро и эффективно объединять приложения, обеспечивая при этом лучший пользовательский опыт в веб-приложениях и мобильных приложениях. Однако, если API не защищены должным образом, они могут нанести ущерб организации.
API-интерфейсы не только расширяют поверхность атаки, предоставляя злоумышленникам больше точек входа, но также более восприимчивы к злоупотреблениям и мошенничеству с бизнес-логикой, что делает их идеальной целью для автоматических атак. Число таких атак растет с угрожающей скоростью. Как сообщается в нашем отчете о плохих ботах за 2023 год, 17% всех атак, направленных на API в 2022 году, были совершены ботами, стремившимися злоупотребить бизнес-логикой, а 21% представляли собой другие типы автоматизированных угроз. Неудивительно, что отсутствие защиты от автоматических угроз является претендентом на новую версию уязвимостей API 2023 года от OWASP. Но почему API становятся все более целенаправленным вектором?
API повсюду
API являются неотъемлемой частью современной разработки программного обеспечения. По данным MuleSoft, 98% организаций сейчас используют общедоступные и/или частные API. Опрос, проведенный по заказу Imperva, показал, что минимальное среднее количество API, которыми сегодня управляет организация, составляет не менее 300. Более того, недавний отчет показал, что 70% разработчиков планируют увеличить использование API в этом году. По мере роста объема API расширяется и поверхность атаки. Таким образом, следует ожидать, что в ближайшие годы API станут главной мишенью для злоумышленников.
Организациям не хватает видимости
Отсутствие видимости может быть связано со следующими причинами:
Организациям необходимо идентифицировать и документировать все свои API. Многие API существуют и публикуются публично, но организация не провела инвентаризацию и не узнала о них активно. Их обычно называют теневыми API. Примеры включают в себя: старые конечные точки API, которые устарели, но так и не были удалены, новые конечные точки API, которые не были инвентаризированы или задокументированы, или когда разработчик случайно вносит изменение, которое открывает доступ к закрытым конечным точкам API в Интернете. Исследование Imperva Threat Research обнаружило, что 14% всего трафика API приходится на теневые API. Возникает вопрос: как можно защитить то, о существовании чего вы не знаете?
Существует также проблема различения человеческого трафика и трафика ботов, не говоря уже о хороших и плохих ботах. Проблема кроется в том, что для API все выглядит как бот, поскольку они предназначены для автоматизированных клиентов. Из-за этого организациям сложно защитить свои API от атак ботов. Эти API обрабатывают большие объемы запросов, но не имеют встроенных механизмов защиты. Это затрудняет обнаружение и блокирование вредоносного трафика ботов, позволяя злоумышленникам использовать автоматизацию без риска поднять тревогу.
Но есть более эффективные способы сегментировать предполагаемого потребителя API, чтобы предотвратить доступ к ним ботов. В частности, многие API предназначены для предоставления данных мобильным и одностраничным браузерным приложениям. Определив целевого потребителя API, группа безопасности может запретить неавторизованным клиентам злоупотреблять API.
API обеспечивают прямой доступ к конфиденциальным данным
API служат прямым путем доступа к конфиденциальным данным, бизнес-функциям, ресурсам и другой конфиденциальной информации. Недавний анализ конечных точек API, проведенный компанией Imperva, показал, что 13% API обрабатывают очень конфиденциальную информацию, такую как номера кредитных карт, номера социального страхования, домашние адреса и т. д. Если злоумышленник получит доступ к API, который обрабатывает конфиденциальные данные, он потенциально может получить доступ ко всем данным, для обработки которых предназначен API, что приводит к утечке данных.