Журнал "Information Security/ Информационная безопасность" #4, 2024

валидации OpenAPI-схемы, а также использовать SAST- и DAST-инструмен- ты и формировать виртуальные патчи. работы самой системы. Александр Чикайло, Positive Technologies: Точечная настройка WAAP позволит минимизировать процент False Positive и снизить нагрузку на саму систему. Важно грамотно формировать политику безопасности, исключая широкие настрой- ки по принципу "проверить все и везде". Стоит также разделять приложения и распределять нагрузку на разные ядра, поды, агенты. Нет смысла использовать приоритизацию правил, проверять весь запрос, если адрес клиента не проходит по IP-Reputation. Динко Димитров, Сергей Одинцов, Вебмониторэкс: Необходимо выбирать тот продукт, в котором вы разбираетесь и знаете его сильные и слабые стороны. Основывать- ся следует на технических показателях, а не маркетинговых обещаниях. Это поз- волит максимально эффективно исполь- зовать данное решение для защиты ваших API. Лука Сафонов, группа компаний "Гарда": Для того чтобы WAAP не замедлял работу API, необходимо, чтобы в нем применялись продуманные подходы к выявлению аномальной и автоматизи- рованной активности. Один из ключевых методов – это интеллектуальная фильт- рация трафика, которая позволяет отли- чать легитимные запросы от подозри- тельных. Использование машинного обучения помогает WAAP динамически адаптироваться к нормальному поведе- нию пользователей и оперативно бло- кировать аномальные запросы, мини- мизируя задержки для легитимных кли- ентов. Для защиты API в условиях DDoS-атак важно комбинировать автоматические механизмы защиты с масштабируемыми инфраструктурными решениями. WAAP может быть настроен на использование различных техник, таких как распределе- ние трафика, Rate Limiting и CAPTCHA для проверки подозрительных пользова- телей. Важно также предусмотреть воз- можность горизонтального масштабиро- вания инфраструктуры, чтобы API мог выдерживать высокий трафик, распреде- ляя нагрузку между несколькими серве- рами. Динко Димитров, Сергей Одинцов, Вебмониторэкс: 1. Поддерживать контакт с вендором (через техподдержку) для обеспечения корректной установки и настройки реше- ния и его модулей. 2. Настроить процесс проверки каче- ства работы продукта и его дообучения на реальном трафике. 3. Использовать режим мониторинга при первоначальной настройке решения, что позволить обнаружить потенциаль- ные ложные срабатывания и блокировки, а также исключить их соответствующей настройкой. Лука Сафонов, группа компаний "Гарда": 1. Использовать кастомизированный набор правил, адаптированный под специфику веб-приложений и API. Например, если в API используются специфические форматы данных или методы, следует настроить WAAP так, чтобы он понимал, что эти параметры не являются аномальными или вредо- носными. 2. Учитывать среду развертывания и контекст использования веб-прило- жений. В разных окружениях (напри- мер, тестовом, продакшн или корпо- ративном) WAAP должен работать с учетом особенностей трафика и тре- бований безопасности. Например, в корпоративной среде могут быть активированы дополнительные уровни защиты, учитывающие требования безопасности данных, а в публичных приложениях – более гибкие настрой- ки для обеспечения доступности и про- изводительности. 3. Регулярно обновлять и оптимизи- ровать правила на основе анализа реального трафика и поведения пользо- вателей. Александр Чикайло, Positive Technologies: 1. Определить используемый тех- нологический стек, что поможет выбрать оптимальный набор правил, проверяемых параметров и защитных механизмов. Например, если исполь- зуется только Java, то нет смысла использовать специфичные для PHP правила. 2. Выделить период адаптации, во время которого WAAP будет находиться в режиме Detect Only для последующего анализа сработок. 3. Провести точечную настройку пра- вил и механизмов WAAP. Лука Сафонов, группа компаний "Гарда": В ближайшие 2–3 года одной из ключе- вых проблем станет увеличение сложно- сти и мощности DoS-/DDoS-атак. Зло- умышленники становятся все более изоб- ретательными, применяя распределенные атаки с использованием ботнетов и раз- нообразных техник, таких как мульти- векторные атаки, которые комбинируют разные типы угроз для создания макси- мальной нагрузки на инфраструктуру. Атаки будут становиться более точечны- ми и масштабируемыми, нацеливаясь не только на перегрузку серверов, но и на эксплуатацию уязвимостей API. Другой важный вызов – новые сред- ства парсинга контента, которые могут использоваться злоумышленниками для обхода систем безопасности. Современ- ные API обрабатывают огромные объемы данных, и новые инструменты могут поз- волить атакующим лучше анализировать эти данные, находить уязвимости и обхо- дить правила защиты. В будущем мы можем увидеть появление более слож- ных методов анализа трафика, которые будут помогать киберпреступникам осу- ществлять целевые атаки, основанные на контенте запросов и ответов API. Динко Димитров, Лев Палей, Вебмониторэкс: 1. Основные вызовы будут связаны с ростом количества API и их проникно- вением в инфраструктуру. Уже сейчас становится актуальной защита микро- сервисов, которые также коммуницируют по API. Потребуется инструмент для наблюдения за API в разных участках инфраструктуры. 2. В связи с ростом API-инфраструк- туры и увеличением ее важности, будет повышаться необходимость ее более глубокого анализа с целью выявления конечных точек API, подверженных высо- ким рискам, таким как недокументиро- ванные, забытые, призрачные API. Александр Чикайло, Positive Technologies: В ближайшие годы мы увидим разви- тие LLM-моделей, что затруднит дефект ботов, которые их используют. Компа- ниям-разработчикам ИБ-средств при- дется переосмыслить методы защиты от ботов, а в частности CAPTCHA-меха- низмы. Отрасль также ждет увеличение количества атак на API, поскольку растет процент использования API и распро- странение подхода API-First. Увеличение числа таких приложений приведет также к росту числа Shadow API. l К кие меры н обходимо предпринять, чтобы WAAP не замедлял рабо- ту API? Как обеспечить защиту API в условиях повышенного трафика и DDoS-атак? Топ-3 рекомендаций, как минимизировать ложные срабатывания и повы- сить точность работы WAAP? Какие актуальные вызо- вы, связанные с защи- той API, вы прогнозируе- те на ближайшие 2–3 года? • 49 WAF для API-номики www.itsec.ru