Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
9 инструментов безопасности API на переднем крае кибербезопасности
Джон Бриден II
ОГО |
Интерфейсы прикладного программирования (API) стали важной частью сетей, программ, приложений, устройств и почти всего остального в вычислительной среде. Это особенно верно для облачных и мобильных вычислений, которые, вероятно, не могли бы существовать в своей нынешней форме без API, объединяющих все вместе или управляющих большей частью серверной функциональности.
Благодаря своей надежности и простоте API стали повсеместными в вычислительной среде. Большинство организаций, вероятно, даже не знают, сколько API работает в их сетях, особенно в облаках. Вероятно, в крупных компаниях работают тысячи API, и даже более мелкие организации, вероятно, полагаются на большее количество API, чем они думают.
Какими бы полезными ни стали API, их использование также создало опасность. Поскольку существует мало стандартов для создания API и многие из них уникальны, API нередко содержат уязвимости, которые можно использовать. Злоумышленники обнаружили, что атаковать API часто намного проще, чем напрямую атаковать программу, базу данных, приложение или сеть. После взлома нетрудно изменить функциональность API, превратив его в своего рода инсайдерскую программу-перебежчика, которая работает на хакера.
Другая большая опасность API заключается в том, что они почти всегда имеют избыточные разрешения. Программисты предоставляют им высокие разрешения, чтобы они могли выполнять свои функции без перерыва. Но если злоумышленник скомпрометирует API, он сможет использовать эти высокие разрешения для других целей, как если бы они взломали учетную запись администратора-человека. Это стало такой проблемой, что исследования Akamai показывают, что атаки на API составляют 75% всех попыток кражи учетных данных во всем мире. Злоумышленники знают, что API уязвимы и повсеместно распространены, и охотятся за ними.
Учитывая серьезность проблемы со взломом API, неудивительно, что в последние годы количество инструментов безопасности API также выросло. Существуют десятки коммерческих инструментов, предназначенных для защиты API, а также сотни бесплатных инструментов или инструментов с открытым исходным кодом. Многие из них имеют сходство и функциональность с другими типами программ кибербезопасности, но вместо этого настроены специально с учетом уникальной природы API.
В целом инструменты безопасности API попадают в одну из нескольких категорий, хотя некоторые из них предлагают полноценные платформы, которые пытаются делать все одновременно. В наши дни наиболее популярным типом инструментов безопасности API являются те, которые защищают API от вредоносных запросов, что-то вроде брандмауэра API. Другие инструменты предназначены для динамического доступа и оценки конкретного API для поиска уязвимостей, чтобы его код можно было защитить от атак. Третьи просто сканируют среду, чтобы организация могла узнать, сколько API существует в ее сети, полагая, что никто не сможет защитить то, о чем они не знают.
Попытка составить полный список инструментов кибербезопасности API будет сложной, учитывая их количество. Но, изучая как пользовательские, так и коммерческие отзывы, некоторые инструменты все же начинают выделяться. Ниже приведены некоторые из лучших инструментов, которые помогут повысить безопасность API, с кратким описанием их сильных сторон и функций. Сотни не попали в этот список, но он должен дать хорошее представление о том, что доступно и возможно при попытке защитить API от сегодняшней все более враждебной среды угроз.
Вот девять лучших инструментов безопасности, доступных сейчас:
APIsec, один из самых популярных инструментов безопасности API, практически полностью автоматизирован и идеально подходит для организаций, которые только начинают улучшать безопасность своих API. В производственной среде, где API уже установлены, APIsec просканирует их и проверит на наличие распространенных уязвимостей, таких как атаки путем внедрения сценариев. Но он также проведет полное стресс-тестирование каждого API, чтобы убедиться, что он защищен от таких вещей, как атаки на бизнес-процессы, которые не так легко обнаружить. Если будут обнаружены проблемы, они будут отмечены вместе с подробными результатами для аналитиков безопасности.