Журнал "Information Security/ Информационная безопасность" #1, 2025

Почти каждое современное приложе- ние содержит уязвимости, эксплуатация которых, зачастую, приводит к преры- ванию бизнес-процессов компании. Мишенью злоумышленников часто становится API (Application Programming Interface, или программный интерфейс приложения), без которого сложно пред- ставить разработку современных веб- сервисов. Программные интерфейсы сайтов, приложений, серверов, личных кабинетов и внутренних онлайн-ресурсов компаний облегчают обмен данными, но открытость и доступность делают API целью хакеров. Злоумышленники используют недо- статки в разработке и реализации веб- приложений, чтобы похищать учетные записи, злоупотреблять бизнес-логикой или заниматься фишингом. Эффективно и своевременно обезопа- сить системы от нападений помогают решения по защите API. Они автоматизи- руют часть рутинной работы и обновляют базы актуальных угроз, чтобы специалисты всегда были в курсе новых рисков. Рассмотрим два вида атак на API: бот-атаки и эксплуатацию уязвимостей, а также способы борьбы с ними. Что из себя представляют бот-атаки? По оценкам аналитиков RED Security, порядка 30% запросов в интернет-тра- фике генерируют вредоносные боты. Атаки ботов на API представляют собой разные схемы массовых запросов к про- граммному интерфейсу веб-приложения с одной или несколькими целями: l переполнить его запросами и при- остановить работу – DDoS-атака; l получить через него полезную, часто конфиденциальную информацию (напри- мер, учетные данные пользователей); l увеличить расходы организации; l проверить приложение на наличие уязвимостей, чтобы в дальнейшем устроить более серьезную атаку. Всего одна бот-атака может привести к значительным репутационным или финансовым потерям, а также юриди- ческим последствиям: судебным про- цессам и административным штрафам. 30 мая 2025 г. вступит в силу № 420- ФЗ, который вводит штрафы за утечку персональных данных – до 500 млн руб. Умело организованные бот-атаки могут привести к таким утечкам. Рассмотрим конкретный пример бот- атаки. SMS-бомбинг API банковских приложений В какой-то момент происходит резкий рост количества запросов к системе дис- танционного банковского обслуживания (ДБО). Пристальный анализ трафика выявляет передачу в API-системы боль- шого числа как реально существующих, так и сгенерированных ботами номеров телефонов якобы пользователей. Иногда такая активность приводит к тому, что SMS с авторизацией приходят абонен- там, которые не пользуются услугами банка. А часть реальных пользователей из-за перегрузки API-бот-запросами не может авторизоваться в системе ДБО. В результате в банк поступают жалобы от большого количества людей, а нагруз- ка на кол-центр резко возрастает. Кли- енты недовольны тем, что ДБО не рабо- тает, абоненты жалуются, что получили спам-рассылку. Компания теряет дове- рие пользователей, а расходы на отправ- ку SMS резко возрастают. Чтобы остановить атаку, недостаточно использовать простой технический ана- лиз и JSON-челлендж. Нужно подклю- чить поведенческий анализ (Behavioral Analysis), который сравнивает с заданной легитимной моделью поведения поль- зователя поступающие к API запросы: частоту обращений в одну и ту же точку, из каких точек они происходят, количе- ство и владельцев сессий и т.п. Этот подход все чаще применяют в развитых решениях для защиты API приложений от продвинутых угроз. Как антибот защищает от бот-атак Антибот – это система защиты, кото- рая фильтрует и блокирует нежелатель- ные запросы к веб-ресурсам от ботов. Она охраняет веб-сайты от угроз: спама, DDoS-атак и других видов автоматиче- ского вмешательства, которые негативно влияют на производительность и без- опасность ресурсов. На примере сервиса защиты API RED Security Antibot рас- смотрим, как обучается и действует антибот-система. На время обучения команда аналитиков делает трафик приложения легитимным. Далее с помощью кастомных правил создаются цепочки, по которым можно будет однозначно отличить трафик при- ложения от вредоносного потока, а также подключаются многофакторный анализ и блокировка известных ботов. Сервис защиты API RED Security Antibot обучается легитимному трафику за два-три дня. Для более комплексной защиты анти- бот-решения подключают совместно с Anti-DDoS, которые очищают трафик от "паразитных" запросов, характерных для DDoS-атак. Затем осуществляется антибот-защита: анализируется трафик по многим техническим параметрам, и боты отсеиваются. Преимущество сервиса RED Security Antibot состоит в том, что в нем исполь- зуется поведенческий анализ. Злоумыш- ленники учат своих ботов скрывать при- знаки того, что на сайт пытается попасть большое количество псевдо-клиентов с разных IP-адресов. Но если с техниче- ской частью хакеры научились справ- ляться, например они успешно имити- руют операционную систему и преодо- левают систему защиты через мелкие идентификаторы, то обойти поведенче- ский анализ до сих пор не могут. ИИ-технологии освобождают время специалистов по безопасности от рути- ны – автоматически обрабатывают повторяющиеся запросы и выявляют подозрительные признаки. Эксплуатация уязвимостей API Согласно оценке аналитиков RED Security, в 2023 г. на попытки взлома веб-ресурсов пришлось более 45% от общего числа атак на компании. Наи- более распространенный вектор – уязвимости в веб-приложениях, часть которых содержится и в API. Злоумыш- ленники используют недостатки или ошибки в коде, чтобы напасть на инфра- структуру. Эксплуатация уязвимостей подразу- мевает разные типы атак, например инъекционные, атаки на авторизацию и аутентификацию, те же DDoS, атаки на бизнес-логику. Справиться с ними помогает Web Application Firewall (WAF, или межсетевой экран веб-приложений), который на при- кладном уровне обнаруживает и блоки- рует аномалии во входящем и исходя- щем трафике (см. табл. 1). Сервис RED Security WAF защищает от разных типов атак: атак на API, OWASP TOP-10, 0-day, 1-day и DDoS уровня приложений. Сначала команда сервиса настраивает правила монито- ринга и фильтрации трафика для защи- щаемого веб-ресурса, затем система осуществляет круглосуточное выявление и блокировку аномалий в трафике, а ана- литики сервиса – разбор подозрительной активности. 46 • СПЕЦПРОЕКТ Защита API от бот-атак и эксплуатации уязвимостей Роман Иванченко, руководитель направления RED Security Antibot Арсений Уваров, руководитель направления RED Security WAF