Журнал "Information Security/ Информационная безопасность" #1, 2025

и, зная ключи запросов, можно получать ответы. Но правильнее реализовать аутентификацию при обращении от интегрируемых систем к API посредством выдачи ключей шифрования для авто- ризации. Лука Сафонов, Weblock (входит в группу компаний "Гарда") Для защиты legacy-систем целесооб- разно использовать WAAP как внешний слой защиты. WAAP отфильтрует неже- лательный трафик, заблокирует извест- ные атаки и компенсирует уязвимости без изменений в коде старой системы. Одновременно стоит закладывать план по постепенной переработке архитек- туры. Дмитрий Вандышев, СберТех Следует использовать шлюз безопас- ности API. Он может выступать в качестве посредника между клиентами и сервер- ной частью, ограничивая прямой доступ к сервисам компании. Шлюз может выполнять аутентификацию и авториза- цию, проверку содержимого по схеме, фильтрацию вредоносного контента и защиту от DDoS-атак на уровне L7. Роман Иванченко, RED Security Конечно, лучший вариант – обновить ПО до актуальной версии. Если же такой возможности нет, то надо быть готовыми к тому, что хакеры будут периодически эксплуатировать содержащиеся в lega- cy-системе уязвимости. Динко Димитров, Вебмониторэкс Первостепенная задача – актуализи- ровать или создать документацию для всех API в инфраструктуре. И если в ходе инвентаризации были найдены интерфейсы, которые не описаны, есть возможность на основе текущего тра- фика сформировать спецификацию, рег- ламентирующую их действия. В плат- форме "Вебмониторэкс" за это отвечает продукт ПроAPI Структура, визуализи- рующий структуру каждого API, и позво- ляющий в этом же интерфейсе провести оценку рисков. Динко Димитров, Вебмониторэкс Микросервисы позволяют создать про- цесс быстрой доставки до пользователя новых функций и улучшений. Для безопасной эксплуатации API необходимо иметь актуальную доку- ментацию, описывающую разрешен- ные действия. При этом внедрение процесса создания полноценной доку- ментации для каждой новой версии создаст дополнительную нагрузку на команду, что замедлит скорость доставки к пользователям новых функ- ций. Мы предлагаем процесс, пред- усматривающий единоразовое созда- ние подробной документации, которая впоследствии актуализируется для каждой новой версии по текущему трафику с помощью специальных тех- нических средств. Лука Сафонов, Weblock (входит в группу компаний "Гарда") В микросервисных архитектурах уве- личивается площадь атаки на API и усложняется контроль. Для обеспече- ния безопасности в таких условиях необходимы централизованные систе- мы управления и мониторинга, позво- ляющие отслеживать доступ, фикси- ровать аномалии и управлять полити- ками безопасности на уровне всего ландшафта. Дмитрий Вандышев, СберТех Особенности действительно есть: 1. Увеличение поверхности атаки: большое количество API, портов и ком- понентов расширяет потенциальную поверхность для кибератак, таких как MITM-атаки, инъекционные атаки, меж- сайтовый скриптинг и DDoS. 2. Межсервисное взаимодействие: микросервисы часто взаимодействуют друг с другом по сети через API, что может стать целью для кибератак. Лука Сафонов, Weblock (входит в группу компаний "Гарда") В Гарда WAF ML играет одну из ключе- вых ролей в процессах защиты API. Поведенческий анализ в сочетании с машинным обучением позволяет свое- временно выявлять аномалии трафика и предотвращать атаки, обеспечивает высокий уровень защиты API и адаптив- ность к новым угрозам. Дмитрий Вандышев, СберТех В Platform V SOWA ИИ используется для динамической генерации схем вали- дации на основании потока данных. ML позволяет построить первичную схему валидации, а LLM – уточнить и повысить ее качество. Динко Димитров, Вебмониторэкс В первую очередь, считаем важным отметить, что хоть тема ИИ и стала очень популярной, но это не означает, что надо пытаться его использовать везде, чтобы он просто был. И как раз в контексте защиты API пока нет необхо- димости в использовании ИИ. При этом для комплексной защиты веб- приложений он может быть полезен. У нас алгоритмы машинного обучения используются в продукте ПроWAF для изучения вредоносного трафика и сниже- ния ложноположительных срабатываний. Роман Иванченко, RED Security Применение машинного обучения для распознавания вредоносной активности – одно из ключевых преимуществ сервиса RED Security Antibot, предназначенного в частности для защиты API приложений от бот-атак. Многие аналогичные систе- мы просто сверяют трафик с базой сиг- натур, которая пополняется раз в пару дней. У нас же система самообучается: постоянно анализирует новые аномаль- ные запросы к API, распознает вредо- носные и самостоятельно пополняет базу аномалий. Кстати, ИИ выгодно отличает сервисную модель защиты от on-prem, ведь в этом случае нейросеть обучается на данных всех подключенных клиентов, а не одной компании. Динко Димитров, Вебмониторэкс Скорое широкое распространение квантовых технологий пока не кажется реальным. Но даже если скептики ока- жутся не правы, мир не уйдет от связан- ности привычных сервисов. А значит, останутся API или их аналоги, которые будут нуждаться в защите. Лука Сафонов, Weblock (входит в группу компаний "Гарда") Влияние квантовых вычислений на защиту API будет значительным, поскольку они представляют угрозу для большинства широко используемых криптографических алгоритмов, обес- печивающих шифрование, аутентифи- кацию и обмен ключами. Дмитрий Вандышев, СберТех Влияние квантовых вычислений на защи- ту API: уязвимость современных крипто- графических алгоритмов, угроза для инфра- структуры открытых ключей (PKI), компро- метация конфиденциальных данных. l Как защищать Legacy- системы, в которых без- опасность API изначаль- но не была приоритетом? Какие особенности есть в обеспечении безопас- ности API в микросервис- ных архитектурах, где количество эндпоинтов значительно больше по сравнению с классиче- скими приложениями? Какая роль в вашем про- дукте отводится ии и ML в защите API? Как вы видите влияние квантовых вычислений на будущее защиты API и какие шаги уже сейчас можно предпринимать? • 53 Защита API www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru