Журнал "Information Security/ Информационная безопасность" #1, 2025

"Вебмониторэкс" рас- сматривает будущее интер- нет-технологий как экоси- стему сервисов, основанных на веб-решениях и API. API Firewall, в отличие от WAF, работает на основе позитивной модели, то есть запрещает любые действия, для которых нет явного раз- решения. Оставаясь лидером в сфере веб-защиты, компания "Вебмонито- рэкс" рассматривает будущее интернет-тех- нологий как экосистему сервисов, основанных на веб- решениях и API. Задумайтесь, какое количе- ство "толстых" клиентов вы используете уже сегодня? Какие тренды зарубежного тех- нологического рынка сформи- ровались за последние годы и дойдут до нас в полном объе- ме в ближайшее время? Одного только первого вопро- са достаточно, чтобы срочно начать принимать меры по защите API. При этом никому не хочется быть первопроход- цем и самостоятельно решать все возникающие проблемы. Но хорошая новость заключа- ется в том, что мы уже прошли этот путь, преодолев все труд- ности и собрав все необходи- мые методологии и технологии в собственный уникальный под- ход. Для начала мы определили, как решали проблему раньше, когда атак на API было мало. Ответ оказался прост – их фильтровали тем же WAF, что и обычный интернет-трафик. При прежнем уровне угроз про- стого мониторинга API-вызовов действительно хватало. Но сего- дня этого недостаточно. Учиты- вая растущий уровень угроз, теперь требуются специальные средства защиты и конкретные действия по анализу и блоки- ровке передаваемых данных. Первый шаг Приложение или инфраструк- тура – это динамично разви- вающиеся сущности, в работе над которыми принимают уча- стие десятки человек, каждый из которых отвечает за что-то свое. Думаю, каждый сможет вспомнить ситуацию, когда неожиданно выяснилось, что какой-то компонент работал не так, как должен, а про другой вообще забыли, – API могут быть подвержены таким же про- блемам. Прежде чем создать систему защиты, необходимо проверить ИТ-инфраструктуру, провести инвентаризацию всех API. Это поможет выявить те, что не имеют должной доку- ментации, а также те, которые почему-то не получают трафик или числятся отключенными, но продолжают использоваться. На первом этапе можно про- анализировать весь трафик обнаруженных API: определить для каждого из них адреса конечных точек сервиса, на которые отправляются запросы (эндпоинты) и используемые на них параметры; создать необхо- димую документацию, фикси- рующую разрешенные возмож- ности каждого API, а также оце- нить угрозы и риски. Непосредственно защита Документация, описывающая API (OAS-спецификация), является важнейшим элемен- том в создании системы защи- ты. Ее следует формировать на первом этапе построения без- опасности даже для тех API, у которых она была утрачена или отсутствовала. Далее можно настроить проверку тра- фика более точным средством, чем привычный WAF, чтобы проверять не базовые парамет- ры, а соответствие заявленной спецификации. Этим средством защиты является API Firewall. API Firewall, в отличие от WAF, работает на основе позитивной модели, то есть запрещает любые действия, для которых нет явного разрешения (именно это и есть главная проблема действующего с противополож- 42 • СПЕЦПРОЕКТ Методология построения и защиты API простыми словами прошлом году в рамках спецпроекта вышла статья директора по информационной безопасности компании “Вебмониторэкс” Льва Палея 1 , посвященная распространенности API, основным проблемам работы с ними, а также принципам создания идеального API. Прошло немногим более полугода, а тема управления и защиты API стала еще популярнее, ведь их количество (как и масштаб атак) увеличилось. В Тимофей Горбунов, продуктовый маркетолог “Вебмониторэкс” Фото: Вебмониторэкс 1 https://cs.groteck.ru/IB_4_2024/46/index.html