Клиенты не знают свои API

Инвентаризация Q-APISec позволяет найти эндпойнты, о которых владелец даже не знает. Модуль классификации покажет в каких эндпойнтах обрабатываются персональные данные. Данная информация также как правило отсутствует, а она крайне важна для расстановки приоритетов при организации защиты API.

Неточность в описании API

Документация API как правило составляется в общем виде и не позволяет эффективно выстроить позитивную модель доступов. Также документация быстро устаревает и часто не соответствует версии API, находящейся в продуктиве. Чтобы избежать этих проблем необходимо осуществлять инвентаризацию в автоматическом режиме.

Снижение рисков компрометации (взлома) инфраструктуры

API могу содержать уязвимости различного типа. Одной из самых опасных является уязвимость удаленного выполнения кода (Remote Code Execution), когда атакующий может выполнять произвольный код в инфраструктуре компании. В таких случаях атака атакующий через уязвимое API закрепляется на сервере, где это API запущено. Затем получает доступ в критичные внутренние системы, чтобы украсть оттдуда данные, деньги или нарушить их работоспособность. Сигнатурные правила Q-APISec помогут значительно снизить риски компрометации.

В крупных компаниях принимается много усилий по обеспечению безопасной разработки API и его публикации в продуктиве: анализ кода (SAST), компонентный анализ (SCA), сканирование (DAST), использование шлюзов API, ... Регулярно возникает ситуация, когда релиз новых сервисов задерживается из-за того, что не пройдена часть проверок, а устранение несоответствий требует значительного времени. В таком случае решение по защите API Q-APISec позволяет опубликовать даже уязвимое решение значительно снизив риски успешных атак за счет виртуального патчинга.

Контроль сетевых ограничений при доступе к приватным API

Часть сервисов API не являются публичными и должны быть доступны только из определенных сетей. Так API для внутренних пользователей организации должны быть доступны только из корпоративной сети, а партнерские API - из сетей партнеров. Иногда сетевые администраторы забывают создать ограничивающие правила или по ошибке открывают доступ для всех (permit any any). Хакеру остается найти уязвимость или скомпрометировать учетную запись, чтобы работать в приватными сервисами как легитимный пользователь. Q-APISec регистрирует IP-адреса и локации, с которых работают пользователи, позволяет делать аналитику с помощью отчетов и дашбоардов.

Предотвращение утечек через теневые API

Под "теневыми" API подразумевает любые неуправляемые и недокументированные API. Это могут быть старые версии сервисов, внутренние API для межсервисной интеграции, мониторинговые или административные API, которые не должны быть доступны из сети Интернет. Каждый случай утечки данных через такие API как правило приводит к существенным потерям: как репутационным, так и финансовым. Чтобы минимизировать риск появления теневых API нужно постоянно инвентаризировать используемые эндпойнты. Q-APISec обладает множеством возможностей, чтобы упростить этот процесс.

Устаревшие библиотеки

Переписать устаревшие и неподдерживаемые версии библиотек стоит дорого, а иногда вообще невозможно. При этом от таких библиотек часто зависит критичная функциональность API. Выходом может быть виртуальный патчинг с помощью Q-APISec.

Нарушение бизнес-процессов из-за отсутствия лимитов на запросы к API

Одним из примеров могут быть онлайн-заявки. Атакующий через API может инициировать отправку большого количества смс с кодами подтверждения, что в свою очередь увеличит затраты на сервис заявок. Если отсутствуют коды подтверждения, то заявки попадают на обработку колл-центра, что увеличивает его загрузку. Избежать таких ситуаций поможет гибкая настройка лимитов по запросам в Q-APISec.

Некорректная настройка систем защиты

Современные меры защиты предполагают конфигурирование множества параметров в различных системах. В дальнейшем необходимо следить, что параметры были не выключены и системы защиты работают в нужных режимах. Инвентаризация в Q-APISec помогает контролировать наличие аутентификации в критичных сервисах. Сигнатурный анализатор блокирует атаки, даже если они были пропущены другими средствами защиты, такими как WAF или NGFW. Большое количество, атак выявленное Q-APISec, может говорить о том, что WAF/NGWF не сконфигурирован или вовсе отключен.

Быстрые изменения в API могут приводить к критическим ошибкам

При публикации новых функций часто возникают ошибки, связанные с аутентификацией и авторизацией. В таких случаях разработчики забывают проверять кто, к каким объектам или функциям API должен иметь доступ. Иногда критичная функция (например, выгрузка данных или документов) становится доступна любому пользователю сети Интернет. Инвентаризация и swagger-анализатор Q-APISec позволяют избежать таких проблем или обнаружить их на ранних этапах.

Официальным эксклюзивным дистрибьютором компании SQUAD является ITD Group — VAD-дистрибьютор, фокусирующийся на направлениях ИБ и Dev[Sec]Ops.

Чтобы стать нашим партнером и получить дополнительную информацию, напишите нам на e-mail partners@squadsec.ru

г. Москва, улица Спартаковская д. 19 стр 3А, офис 3А (юридический адрес)