Журнал "Information Security/ Информационная безопасность" #4, 2024

Лука Сафонов, группа компаний "Гарда": Ключевую роль в обеспечении без- опасности API играют средства монито- ринга. Они позволяют отслеживать и анализировать все действия, происхо- дящие с API, выявляя аномалии и потен- циальные угрозы. Например, мониторинг может выявить подозрительные запро- сы, высокую частоту обращений с одного IP-адреса, необычные географические паттерны или аномальную структуру запросов. Кроме того, средства монито- ринга могут отправлять оповещения администраторам для своевременного реагирования на инциденты. Второй компонент – это WAF или WAAP, которые предназначены для фильтрации трафика и защиты API от различных угроз на уровне веб-приложений. WAF анализирует входящие и исходящие запросы, блокируя потенциально вредо- носные запросы, которые могут содер- жать, например, SQL-инъекции, XSS, попытки внедрения команд и другие типы угроз. WAAP идет еще дальше, предо- ставляя более специализированную защи- ту для API, включая защиту от DoS- /DDoS-атак, защиту от утечек данных и управление аутентификацией запросов. Александр Чикайло, Positive Technologies: Первая линия защиты API - это сред- ства класса WAAP, которые включают в себя: l Покрытие OWASP TOP 10. l Покрытие OWASP TOP API risks. l DDoS-protection. l Bot protection. l Rate limit. l Virtual patching. l Machine Learning для выявления ано- малий. l Интеграция с сервисами IP-reputation. Помимо этого необходимо использо- вать веб-ориентированные фаззеры, в том числе и на основе схемы Open API, и проводить регулярные пентесты. Динко Димитров, Сергей Одинцов, Вебмониторэкс: По сути, для детектирования атак может быть выбрана позитиная модель, негативная или их комбинация. Позити- ная модель направлена на блокировку атак, негативная – на формирование жесткого конструкта "не пройдет все, что не по правилам". По первой модели функционируют решения класса WAF, для реализации второй подойдут вали- даторы схем (в нашем случае – "ПроAPI. Защита"). Но для того, чтобы сформи- ровать корректные правила для нега- тивной модели, нужно детально разо- брать структуру API и выяснить, какие уязвимости и недостатки в ней присут- ствуют. В этом помогут решения типа DAST и визуализация API. Лев Палей, Вебмониторэкс: Можно и нужно! На этапах дизайна и тестирования нужно смотреть, насколь- ко автосформированная документация API отличается от ушедшей на предпрод. В момент тестирования необходимо учи- тывать информацию об уязвимостях и недостатках API, а при определенной зрелости – и делать отчеты о таких недостатках блокерами для процесса выпуска API. К моменту перевода в про- мышленную эксплуатацию нужно конт- ролировать, что все работает, как спла- нировали. Другой вопрос – как обеспе- чить такое встраивание? Ответ: через API, позволяющий активировать нужные функции вызовом из платформы CI/CD. Лука Сафонов, группа компаний "Гарда": Интеграция API-безопасности в про- цессы CI/CD не только возможна, но и крайне важна. Для этого необходи- мо выстроить оптимальный CI-/CD-пай- плайн, в который будут интегрированы автоматизированные проверки безопас- ности API. Это можно сделать, добавив этапы тестирования безопасности, такие как статический и динамический анализ кода, проверка уязвимостей и автома- тизированные тесты API на устойчивость к атакам. Важной частью является интег- рация SAST, DAST и инструментов для автоматизированного сканирования уязвимостей в API на этапе сборки и деплоя. Важно также, чтобы API-безопасность была проверяема на каждом этапе пай- плайна. Это делается с помощью авто- матического запуска тестов безопасно- сти при каждом изменении кода или перед выпуском новой версии. В допол- нение к автоматическим проверкам сле- дует внедрять политику код-ревью с фокусом на безопасность и проводить регулярные пентесты API. Александр Чикайло, Positive Technologies: Для обеспечения безопасности API в процессе CI/CD нужно использовать классический AppSec-подход – Shift Left. На уровне CI/CD можно внедрить сред- ства для обнаружения секретов в коде, поиск Security Misconfiguration, сбора и Какой набор средств защиты поможет обеспе- чить защиту от различ- ных типов атак на API? Можно ли бесшовно интегрировать API-без- опасность в процессы CI/CD? 48 • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах ля успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ-решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API. Д Динко Димитров, руководитель продуктового развития, “Вебмониторэкс" Сергей Одинцов, системный аналитик, “Вебмониторэкс" Лев Палей, директор по информационной безопасности, “Вебмониторэкс" Лука Сафонов, группа компаний “Гарда" Александр Чикайло, ведущий специалист группы экспертизы защиты приложений, Positive Technologies СПЕЦПРОЕКТ