г. Москва, улица Спартаковская д.19 стр 3А, офис 3А (юридический адрес)
Актуальные кейсы
Предотвращение утечек через забытые и теневые API
Проблема
В крупных организациях часто отсутствует единая платформа для управления всеми API, что приводит к появлению «теневых» или забытых интерфейсов. В условиях высокой скорости разработки и внедрения новых функций, API могут быть созданы «на лету» для временных нужд, но затем забыты. Если организация не проводит регулярный аудит своих API, то забытые и теневые интерфейсы могут остаться вне поля зрения, что сильно увеличивает риск утечек. Каждый случай утечки данных через такие API как правило приводит к существенным потерям: как репутационным, так и финансовым.
Как это решает Q-APISec
Минимизирует риск появления теневых API за счет автоматической инвентаризации используемых эндпоинтов, а также выявляет забытые и теневые API.
В крупных организациях часто отсутствует единая платформа для управления всеми API, что приводит к появлению «теневых» или забытых интерфейсов. В условиях высокой скорости разработки и внедрения новых функций, API могут быть созданы «на лету» для временных нужд, но затем забыты. Если организация не проводит регулярный аудит своих API, то забытые и теневые интерфейсы могут остаться вне поля зрения, что сильно увеличивает риск утечек. Каждый случай утечки данных через такие API как правило приводит к существенным потерям: как репутационным, так и финансовым.
Как это решает Q-APISec
Минимизирует риск появления теневых API за счет автоматической инвентаризации используемых эндпоинтов, а также выявляет забытые и теневые API.
Снижение рисков компрометации (взлома) инфраструктуры
Проблема
Одной из самых опасных является уязвимость API удаленного выполнения кода (Remote Code Execution), когда атакующий может выполнять произвольный код в инфраструктуре компании. В таких случаях атакующий через уязвимое API закрепляется на сервере, где это API запущено. Затем получает доступ в критичные внутренние системы, чтобы украсть оттуда данные, деньги или нарушить их работоспособность.
Как это решает Q-APISec
Наличие модуля выявления атак с помощью анализа запросов и ответов на основе сигнатур, помогают в значительной степени снизить риски компроментации инфраструктуры. Осуществляется виртуальный патчинг.
Одной из самых опасных является уязвимость API удаленного выполнения кода (Remote Code Execution), когда атакующий может выполнять произвольный код в инфраструктуре компании. В таких случаях атакующий через уязвимое API закрепляется на сервере, где это API запущено. Затем получает доступ в критичные внутренние системы, чтобы украсть оттуда данные, деньги или нарушить их работоспособность.
Как это решает Q-APISec
Наличие модуля выявления атак с помощью анализа запросов и ответов на основе сигнатур, помогают в значительной степени снизить риски компроментации инфраструктуры. Осуществляется виртуальный патчинг.
Контроль, данных обрабатываемых в API
Проблема
Отсутствие информации о том, в каких эндпоинтах обрабатываются персональные данные, не даёт полной картины при расстановке приоритетов в процессе организации защиты API.
Как это решает Q-APISec
Инвентаризация Q-APISec позволяет найти эндпоинты, о которых владелец даже не знает. Модуль классификации покажет в каких эндпоинтах обрабатываются персональные данные
Отсутствие информации о том, в каких эндпоинтах обрабатываются персональные данные, не даёт полной картины при расстановке приоритетов в процессе организации защиты API.
Как это решает Q-APISec
Инвентаризация Q-APISec позволяет найти эндпоинты, о которых владелец даже не знает. Модуль классификации покажет в каких эндпоинтах обрабатываются персональные данные
Выявление API без аутентификации
Проблема
При публикации критичных эндпоинтов с небезопасными или отключенными механизмами аутентификации возникает большой риск несанкционированного доступа к API. Злоумышленники ищут точки входа с помощью таких эндпоинтов, а также пытаются выгрузить все чувствительные данные, которые может вернуть эндпоинт.
Как это решает Q-APISec
Выявляет API без аутентификации, используя комплексный подход: анализ конфигураций, мониторинг трафика и использование других инструментов безопасности.
При публикации критичных эндпоинтов с небезопасными или отключенными механизмами аутентификации возникает большой риск несанкционированного доступа к API. Злоумышленники ищут точки входа с помощью таких эндпоинтов, а также пытаются выгрузить все чувствительные данные, которые может вернуть эндпоинт.
Как это решает Q-APISec
Выявляет API без аутентификации, используя комплексный подход: анализ конфигураций, мониторинг трафика и использование других инструментов безопасности.
Закрытие уязвимости до выпуска обновления
Проблема
В крупных компаниях принимается много усилий по обеспечению безопасной разработки API и его публикации в продуктиве: анализ кода (SAST), компонентный анализ (SCA), сканирование (DAST), использование шлюзов API, …Регулярно возникает ситуация, когда релиз новых сервисов задерживается из-за того, что не пройдена часть проверок, а устранение несоответствий требует значительного времени.
Как это решает Q-APISec
Позволяет опубликовать даже уязвимое решение значительно снизив риски атак за счет виртуального патчинга и валидации описания в формате OpenAPI.
В крупных компаниях принимается много усилий по обеспечению безопасной разработки API и его публикации в продуктиве: анализ кода (SAST), компонентный анализ (SCA), сканирование (DAST), использование шлюзов API, …Регулярно возникает ситуация, когда релиз новых сервисов задерживается из-за того, что не пройдена часть проверок, а устранение несоответствий требует значительного времени.
Как это решает Q-APISec
Позволяет опубликовать даже уязвимое решение значительно снизив риски атак за счет виртуального патчинга и валидации описания в формате OpenAPI.
Возможность задавать лимиты на запросы к API
Проблема
Нарушение бизнес-процессов из-за отсутствия лимитов на запросы к API. Одним из примеров могут быть онлайн-заявки. Атакующий через API может инициировать отправку большого количества смс с кодами подтверждения, что в свою очередь увеличит затраты на сервис заявок. Если отсутствуют коды подтверждения, то заявки попадают на обработку колл-центра, что увеличивает его загрузку.
Как это решает Q-APISec
Позволяет избежать таких ситуаций за счет гибкой настройки лимитов по запросам.
Нарушение бизнес-процессов из-за отсутствия лимитов на запросы к API. Одним из примеров могут быть онлайн-заявки. Атакующий через API может инициировать отправку большого количества смс с кодами подтверждения, что в свою очередь увеличит затраты на сервис заявок. Если отсутствуют коды подтверждения, то заявки попадают на обработку колл-центра, что увеличивает его загрузку.
Как это решает Q-APISec
Позволяет избежать таких ситуаций за счет гибкой настройки лимитов по запросам.
Некорректная настройка систем защиты
Проблема
Современные меры защиты предполагают конфигурирование множества параметров в различных системах. В дальнейшем необходимо следить, что параметры были не выключены и системы защиты работают в нужных режимах. Большое количество, атак выявленное Q-APISec, может говорить о том, что WAF/NGWF не сконфигурирован или вовсе отключен.
Как это решает Q-APISec
Сигнатурный анализатор блокирует атаки, даже если они были пропущены другими средствами защиты, такими как WAF или NGFW.
Современные меры защиты предполагают конфигурирование множества параметров в различных системах. В дальнейшем необходимо следить, что параметры были не выключены и системы защиты работают в нужных режимах. Большое количество, атак выявленное Q-APISec, может говорить о том, что WAF/NGWF не сконфигурирован или вовсе отключен.
Как это решает Q-APISec
Сигнатурный анализатор блокирует атаки, даже если они были пропущены другими средствами защиты, такими как WAF или NGFW.
Контроль сетевых ограничений при доступе к приватным API
Проблема
Часть сервисов API не являются публичными и должны быть доступны только из определенных сетей. Так API для внутренних пользователей организации должны быть доступны только из корпоративной сети, а партнерские API - из сетей партнеров. Иногда сетевые администраторы забывают создать ограничивающие правила или по ошибке открывают доступ для всех (permit any any). Хакеру остается найти уязвимость или скомпрометировать учетную запись, чтобы работать в приватными сервисами как легитимный пользователь.
Как это решает Q-APISec
Q-APISec регистрирует IP-адреса и локации, с которых работают пользователи, позволяет делать аналитику с помощью отчетов и дашбоардов.
Часть сервисов API не являются публичными и должны быть доступны только из определенных сетей. Так API для внутренних пользователей организации должны быть доступны только из корпоративной сети, а партнерские API - из сетей партнеров. Иногда сетевые администраторы забывают создать ограничивающие правила или по ошибке открывают доступ для всех (permit any any). Хакеру остается найти уязвимость или скомпрометировать учетную запись, чтобы работать в приватными сервисами как легитимный пользователь.
Как это решает Q-APISec
Q-APISec регистрирует IP-адреса и локации, с которых работают пользователи, позволяет делать аналитику с помощью отчетов и дашбоардов.