Журнал "Information Security/ Информационная безопасность" #1, 2025

Лука Сафонов, Weblock (входит в группу компаний "Гарда") Защиту API стоит выстраивать с упро- щенной ролевой моделью – избегать глу- бокой иерархии, минимизировать коли- чество проверок и использовать кэши- руемые разрешения. Важно также опти- мизировать логирование: сократить объем синхронно записываемых данных, пере- вести логирование в асинхронный режим и минимизировать детализацию. Это поз- воляет сохранить производительность без ущерба для аудита и мониторинга. Роман Иванченко, RED Security В таких случаях рекомендуется посте- пенно выстраивать эшелонированную защиту. Стоит начать с применения Anti- DDoS для фильтрации поступающего в API трафика. Если после этого объем вредоносных запросов не снижается, следует подключить защиту от бот-атак. И уже в случае, если в числе запросов к API присутствуют попытки взлома при- ложения, добавляется решение WAF для защиты от взлома системного ПО. Дмитрий Вандышев, СберТех 1. Минимизировать проверки для исхо- дящих данных. 2. При использовании внешних серви- сов безопасности, например АВПО, при- менять режим bypass. 3. Применять правила фильтрации WAF только к критичным частям сообще- ния, а остальные части сообщения про- верить с помощью позитивной модели безопасности API Gateway. Динко Димитров, Вебмониторэкс: Жертвовать безопасностью ради про- изводительности – плохое решение. Мы предлагаем использовать специализиро- ванное средство для защиты API, которое обрабатывает данные, характерные имен- но для API, и разгружает WAF от запросов без авторизации, то есть от ботов, состав- ляющих около половины всего трафика. То есть это будет отдельный API Firewall, стоящий перед WAF. В нашем случае это продукт ПроAPI Защита. Дмитрий Вандышев, СберТех Специфика защиты API в системах с множеством сторонних интеграций заключается в необходимости примене- ния многоуровневого подхода к обес- печению безопасности, а также в управ- лении рисками, связанными с доверием к этим интеграциям: 1. Применять политику Zero Trust. Не следует полагаться на обработку аутен- тификации пользователей API другой системой, особенно в случае многослой- ных API. 2. Отслеживать актуальные версии API и текущие спецификации. 3. Использовать актуальные алгорит- мы шифрования трафика запросов и ответов API для защиты конфиденци- альности информации. Лука Сафонов, Weblock (входит в группу компаний "Гарда") В системах с множеством сторонних интеграций ключевая задача – контро- лировать, какие API используются, кем и с какой целью. Для этого необходимо провести инвентаризацию активов и построить актуальную карту API, вклю- чая теневые (shadow), забытые (orpha- ned) и устаревшие (zombie) интерфейсы. Инвентаризация выявит неконтролируе- мые точки взаимодействия и снизить риск несанкционированного доступа. Динко Димитров, Вебмониторэкс У компании "Вебмониторэкс" есть собственная методология управления и защиты API, предусматривающая три этапа: знать, защищать и не допускать. В рамках первого необходимо инвента- ризировать все API в своей инфраструк- туре и по данным с текущего трафика регулярно отслеживать их состояние. Таким образом, появляется практика документирования API на разных этапах разными людьми даже для тех API, что ранее были не задокументированы. Это уже значительно снижает риски, так как специализированные средства позво- ляют находить расхождения с докумен- тацией и выявлять уязвимости. Роман Иванченко, RED Security При множестве интеграций API будет получать запросы не только от человека, но и от большого числа интегрированных с приложением систем. Отделить такой трафик от любого другого не получится, потому что у него нет специальных мар- керов. Решением в этом случае является внедрение правил межсетевого экрани- рования, а именно добавление запросов от этих систем в белый список. Однако это работает, когда интегрируемые системы имеют статические IP-адреса, но не в случае с динамической маршру- тизацией, когда IP-адрес источника запроса постоянно меняется. Поэтому также следует внедрить выдачу шифро- ванных ключей для каждой отдельной системы. API допускает неавторизован- ные подключения через интерфейс Какие рекомендации можно дать по организа- ции защиты API в систе- мах, где критически важна низкая задержка. Чем можно безболезнен- но пожертвовать ради производительности? Какова специфика защи- ты API в системах, где используется множество сторонних интеграций, и как управлять рисками, связанными с доверием к этим интеграциям? 52 • СПЕЦПРОЕКТ Инженерный подход к API-безопасности: мнения и решения PI контролируют доступ к данным: персональным, финансовым, корпоративным. Но в то же время они становятся идеальной мишенью для атак. Хакеры ищут уязвимости в API, чтобы украсть данные, провести атаки типа DDoS или даже получить полный контроль над системой. Для AppSec-инженеров это означает, что каждый API – это потенциальная точка входа для злоумышленников, и закрыть все лазейки – Первей- шая задача. Ответами на актуальные вопросы в практике защиты API поделились эксперты журнала "Информационная безопасность". A Эксперты: Дмитрий Вандышев, владелец продукта Platform V SOWA, “СберТех” Динко Димитров, руководитель продуктового развития, “Вебмониторэкс” Роман Иванченко, руководитель направлений WAF и Antibot компании RED Security Лука Сафонов, технический директор Weblock (входит в группу компаний “Гарда”)