$75 млрд ежегодно: как уязвимости в API истощают корпоративные бюджеты

В свежем отчёте под названием «Состояние безопасности API в 2024 году» от компании Imperva было выявлено, что большинство интернет-трафика (порядка 70%) приходится на API-вызовы. Так, в 2023 году среднестатистический корпоративный сайт обрабатывал около 1,5 миллиарда API-вызовов в год, что подчёркивает роль технологии как «соединительной ткани» цифровой модернизации.

Огромный объём интернет-трафика, проходящего через API, должен беспокоить каждого специалиста по безопасности. Несмотря на все усилия по внедрению фреймворков типа shift-left и SDLC-процессов, API-интерфейсы часто всё ещё запускаются в производство до того, как они будут каталогизированы, аутентифицированы и проверены.

В среднем организации имеют в производстве 613 конечных точек API, но это число быстро растёт по мере того, как растёт потребность в более быстром и эффективном предоставлении цифровых услуг клиентам. Со временем эти API могут стать опасными и уязвимыми конечными точками.

В своём отчёте Imperva приходит к выводу, что API теперь являются вполне обыденным вектором атак для киберпреступников, так как они представляют прямой путь доступа к чувствительным данным. Так, недавнее исследование, проведённое Центром анализа киберрисков Марша Макленнана совместно с Imperva, показывает, что инциденты безопасности, связанные с API, обходятся глобальному бизнесу в 75 миллиардов долларов ежегодно.

В 2023 году наибольшее количество API-вызовов было зарегистрировано в банковской сфере и онлайн-ритейле, что делает финансовые услуги основной целью атак, связанных с API. Киберпреступники используют различные методы для атаки на точки доступа API, в том числе через захват учётных записей, при котором они эксплуатируют уязвимости в процессах аутентификации API для несанкционированного доступа к аккаунтам.

Неправильное управление API создаёт уникальные вызовы для команд безопасности, отчасти из-за быстрого темпа разработки программного обеспечения и отсутствия зрелых инструментов и процессов для сотрудничества разработчиков и команд безопасности. В результате, почти каждый десятый API уязвим к атакам из-за неправильного управления, отсутствия мониторинга или недостаточного контроля аутентификации.

Для снижения рисков безопасности, связанных с неправильным управлением API, рекомендуется проведение регулярных аудитов для выявления неконтролируемых или неаутентифицированных точек доступа API. Непрерывный мониторинг может помочь вовремя обнаружить попытки эксплуатации уязвимостей, связанных с этими точками доступа. Кроме того, разработчики должны регулярно обновлять и модернизировать API, чтобы гарантировать, что устаревшие конечные точки своевременно заменяются на более безопасные альтернативы.

Imperva предлагает несколько рекомендаций для улучшения защиты API организаций. Среди них, например:

• Обнаруживать, классифицировать и инвентаризировать все API, конечные точки, параметры и полезные нагрузки. Использовать непрерывное обнаружение для поддержания постоянно обновляемой инвентаризации API и выявления утечек чувствительных данных.
• Идентифицировать и защищать чувствительные и высокорисковые API. Проводить оценку рисков, специально нацеленную на уязвимые конечные точки API, особенно те, что подвержены нарушениям авторизации и аутентификации, а также чрезмерному раскрытию данных.
• Установить надёжную систему мониторинга для конечных точек API, чтобы активно обнаруживать и анализировать подозрительные поведения и модели доступа.
• Внедрить подход к безопасности API, который объединяет брандмауэр веб-приложения (Web Application Firewall, WAF), защиту API, предотвращение DDoS-атак и защиту от ботов. Комплексный набор вариантов смягчения последствий предлагает гибкость и продвинутую защиту от всё более сложных угроз для API, таких как атаки на бизнес-логику, от которых особенно сложно защититься, поскольку они уникальны для каждого API.

Все эти меры могут помочь организациям обеспечить более высокий уровень безопасности их цифровой инфраструктуры и защититься от потенциальных атак киберпреступников, целенаправленно эксплуатирующих уязвимости в API.

С учётом того, что объём использования API продолжает расти, важность строгой безопасности и активного управления API становится ещё более очевидной задачей для предотвращения утечек данных, непредвиденных финансовых потерь и ущерба репутации.