Журнал "Information Security/ Информационная безопасность" #1, 2025

Одна из основных задач при эксплуа- тации WAF – найти баланс между тем, что нужно проверять, и тем, что не нужно. Некоторые запросы вовсе не требуют проверки, только зря перегру- жают центральный процессор. Поэтому настраивать правила и фильтры стоит вдумчиво. Контроль API-трафика и аномалий WAF анализирует запросы к API от приложений и может блокировать подо- зрительные параметры или заголовки, например нестандартные User-Agent, запросы от неавторизованных клиентов и аномальное поведение, например резкое увеличение числа запросов. Для этого он использует технологии пове- денческого анализа (ML-анализ паттер- нов запросов), TLS-терминирования (раскрытия TLS-трафика), инспекцию трафика. Плюс подхода – высокая эффек- тивность против ботов. Минус – требует точной настройки и глубокого изучения структуры API или наличия подробной спецификации. Инспекция JWT-/OAuth-токенов С помощью анализа JWT и метода аутентификации сообщений HMAC меж- сетевой экран веб-приложений может проверять валидность токенов (например просроченные или подделанные), мани- пуляции с iat-, exp-, aud-полями, утечки токенов. Плюс подхода – защита от атак на авторизацию. Минус – требует доступа к секретным ключам валидации. Контроль клиентских веб- и мобильных приложений WAF помогает верифицировать леги- тимных клиентов. Для этого он исполь- зует API-ключи и подписи запросов, fin- gerprinting или цифровой отпечаток мобильных приложений, а также взаи- модействие с мобильными SDK для дополнительной валидации. Плюс подхода – сложнее подделать запрос. Минус – дополнительная нагрузка на сервер. Независимо от подхода есть техноло- гические сложности, которые возникают при защите API с помощью WAF (см. табл. 2). WAF работает в режиме Reverse Proxy: сервер выступает в качестве посредника между клиентом и одним или несколь- кими веб-серверами, защищает их от прямых запросов. ИИ облегчает эту работу, обрабатывая большое количе- ство запросов, но человеческий фактор все еще играет решающую роль – имен- но аналитик показывает ИИ, где леги- тимная сессия, а где вредоносная, при- нимая решение в спорных ситуациях. Выводы Сервисы RED Security защищают API приложений от широкого спектра угроз. Комплексную защиту можно обеспе- чить с помощью взаимодействия сер- висов Antibot и WAF, которые при совместном использовании усиливают возможности друг друга в области про- тиводействия ботам и DDoS-атакам, а каждый из них защищает API от специ- фичных векторов угроз. Сервисы под- ходят для решения задач импортоза- мещения – с ними можно бесшовно перейти на российские сертифициро- ванные технологии. l • 47 Защита API www.itsec.ru Таблица 1. Сценарии атак на API и как их отражает WAF Таблица 2. Сложности, возникающие при защите API Типы атак Сценарий Как помогает WAF Инъекцион- ные атаки: SQL Injection, NoSQL Injection, Command Injection API принимает пользовательский запрос, например в формате URL или JSON-запроса. Злоумышленник передает вредо- носный код, который выполняется на стороне сервера, например SQL- запрос `UNION SELECT` для полу- чения конфиденциальных данных. Фильтрует входные данные, блоки- рует аномальный синтаксис, напри- мер `1=1`, `DROP TABLE`, `exec()` и т. д. Анализирует поведение запросов и корреляцию с известными шабло- нами (сигнатурами) атак. Атаки на авторизацию и аутентифи- кацию: Credential Stuffing, Brute Force, Token Theft API реализует авторизацию через JSON Web Token (JWT) или прото- кол авторизации OAuth. Атакующий использует украденные учетные данные пользователей из утекших баз данных и пытается авторизоваться методом перебора – Credential Stuffing. Если API не ограничивает число попыток входа, атакующий получа- ет доступ к аккаунту. Ограничивает частоту запросов – Rate Limiting. Анализирует поведение пользова- теля, например аномальную актив- ность с одного IP. Поддерживает механизмы защиты: CAPTCHA, многофакторную аутен- тификацию. DDoS-атаки на API Ботнет генерирует сотни тысяч API- запросов и перегружает сервер или использует Slowloris – сессионные атаки на медленные операции. В результате API становится недо- ступным. Ограничивает количество запросов в секунду (RPS) на IP или сессию. Обнаруживает аномалии в трафи- ке: повышенную нагрузку, повто- ряющиеся запросы. Интегрируется с Anti-DDoS-решениями. Атаки на бизнес- логику: BOLA, Mass Assignment, IDOR API позволяет запрашивать данные по ID /user/123/orders. Злоумышленник меняет ID /user/124/orders и получает доступ к чужим данным – IDOR (уязви- мость небезопасной прямой ссылки на объект). Или API некорректно проверяет привилегии пользователя в прило- жении и позволяет изменить пара- метры учетной записи. Анализирует структуру запросов: что меняется, какие параметры используются. Ограничивает доступ к критичным методам ACL (списка прав доступа пользователей) и RBAC (управле- ния доступом на основе ролей). Ограничение Проблема Решение Шифрованный трафик – TLS WAF не может анализировать зашифрованный HTTPS-трафик без TLS-терминирования. Настройка прокси-режима рабо- ты – SSL Offloading. Инспекция трафика через агент, если это возможно. False Positive/False Negative Жесткие правила WAF могут забло- кировать легитимные запросы. Некорректная настройка политики может не позволить распознать про- двинутую атаку. Использование бизнес-логики. AI/ML-алгоритмы. Поведенческий анализ. Атаки на API через легитим- ных клиентов Если злоумышленник использует реальные учетные данные пользо- вателя, атака будет выглядеть леги- тимно. Анализ аномального поведения пользователей. Интеграция с UEBA – User and Entity Behavior Analytics. На правах рекламы Ваше мнение и вопросы присылайте по адресу is@groteck.ru