Журнал "Information Security/ Информационная безопасность" #1, 2025

API давно стали неотъемлемой частью цифровых сервисов, но долгое время их безопасности никто не фокусировал- ся. Злоумышленники быстро осознали, что атаки на API – это быстрый и мало- заметный способ получить доступ к дан- ным. Часто API настраивают небрежно, поз- воляя обходить механизмы аутентифи- кации. Например, случается, что в мно- гоэтапном входе можно просто пропу- стить проверочные шаги и сразу полу- чить доступ к данным. Подобные уязви- мости находили даже в популярных сер- висах – так, в Clubhouse хакеры смогли собрать данные пользователей всего за два дня после запуска 1 . К тому же API нередко считают "неви- димыми", ведь это не публичная часть сервиса, – и не защищают должным образом. Существуют забытые и забро- шенные API, которые могут быть пере- хвачены злоумышленниками. Ситуация осложняется ростом мобильных техно- логий: большинство приложений рабо- тают через API, а значит, новые атаки появляются постоянно. В стремлении как можно быстрее выпустить продукт на рынок безопас- ностью часто пренебрегают. В итоге сервис выходит в эксплуатацию с уязви- мостями и архитектурными проблемами, которые вскоре становятся причиной атак и утечек данных. Разве API требуют особой защиты? Сообщество OWASP регулярно обнов- ляет список рисков API в виде OWASP API Security Top 10 2 . Список угроз здесь действительно напоминает классический OWASP Top 10, но адаптированный под специфику API. Характерно, что в версии 2023 г. половина уязвимостей связана с аутентификацией и авторизацией – логины, пароли, токены остаются основ- ными точками атак. Основная причина возникновения рис- ков – недочеты разработчиков и адми- нистраторов. Даже при многоуровневой защите ошибки конфигурации или уязви- мые библиотеки могут свести все усилия к нулю. Теоретически модель OWASP SAMM 3 предлагает безопасный жизнен- ный цикл разработки, но на практике всегда есть ошибки проектирования и внедрений, особенно с учетом совре- менных рисков, таких как программные закладки. Для защиты API не достаточно фильт- ров и блокировок. Важно понимать их архитектуру, выявлять слабые места и не создавать новые уязвимости в про- цессе защиты. Защитит ли API обычный WAF? Исторически WAF в его традиционном виде был фильтром, находящимся между веб-сервером и приложением, который анализировал запросы по зара- нее определенным сигнатурам. Если запрос соответствовал известному паттерну атаки – он блокировался, если нет – пропускался. Однако с годами атаки усложнялись, и WAF начал обрастать дополнительны- ми функциями, превращаясь в нечто большее – гибридный инструмент класса WAAP (Web Application and API Protec- tion). Один из примеров этого класса решений – Гарда WAF 4 , который не только анализирует сигнатуры, но и защищает от DDoS-атак, отслеживает аномалии, ограничивает частоту запро- сов и многое другое. К тому же, атаки на API зачастую строятся не на грубых попытках взлома, а на логических уязвимостях. Например, представьте интернет-магазин, где API позволяет выгружать список товаров. Если злоумышленник запросит сразу весь каталог с сотнями тысяч позиций, сервер может попросту исчерпать ресур- сы и перестать отвечать. Но с точки зрения классического WAF такой запрос абсолютно легитимен. Для защиты API нужны новые подходы. Появляются интеллектуальные алгорит- мы, отслеживающие не только сигнатуры, но и поведение пользователей. Важно не просто блокировать запросы, а ана- лизировать, кто их делает, с какой часто- той, насколько они соответствуют нор- мальному пользовательскому паттерну. Особенно сложны атаки на API, когда злоумышленники изучают структуру интерфейса, выявляют "мертвые" и "забытые" эндпоинты (ручки), а затем эксплуатируют их. Появились и совсем новые угрозы – так называемые GPT- боты, которые агрессивно парсят веб- сайты и API, собирая данные для обуче- ния нейросетей. В заключение Сегодня безопасность API – это отдельная экосистема, включающая API- Gateway, интеллектуальный анализ пове- дения, ограничение частоты запросов и новые инструменты противодействия автоматизированным угрозам. Помимо этого, Гарда WAF, как и поло- жено решению WAAP, может интегри- роваться с системами Threat Intelligence (например, с Гарда TI), которые анали- зируют глобальные потоки угроз и накла- дывают их на текущие события. Некото- рые решения даже экспериментируют с автоматическим поиском утекших учет- ных данных в открытых источниках или на теневых форумах, выявляя возмож- ные компрометации токенов и паролей. В таких случаях система может автома- тически аннулировать сессию и забло- кировать учетную запись. WAAP – уже не просто фильтр на гра- нице сети, а интеллектуальная система, которая в режиме реального времени анализирует, кто именно пытается полу- чить доступ, откуда и насколько это соответствует нормальному поведению пользователя. l 44 • СПЕЦПРОЕКТ Защита API – это не просто WAF и блокировки ще в 2021 г. аналитики Gartner предсказывали, что атаки на API станут самым частым вектором взлома веб-приложений. Этот прогноз сбылся – за последние годы произошел ряд резонансных утечек данных через уязвимости API. По исследованиям, практически 99% организаций столкнулись с проблемами безопасности API за последние 12 месяцев. Е Лука Сафонов, технический директор компании Weblock, входит в группу компаний “Гарда” АДРЕСА И ТЕЛЕФОНЫ ГРУППА КОМПАНИЙ "ГАРДА" см. стр. 68 NM Реклама Фото : ГК “Гарда” 1 https://www.securitymagazine.com/articles/95006 2 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ 3 https://owaspsamm.org/model/ 4 https://garda.ai/products/network-security/waf