У цифровій економіці, де потоки даних і клієнтоорієнтованість визначають бізнес-процеси компаній, API займають вирішальну позицію. Вони забезпечують доступ до відповідних даних, систем і компонентів програмного забезпечення. Однак це також робить їх цікавою мішенню для хакерів. Час для нульової довіри до API.
Хакери намагаються викрасти такі дані, як імена, номери облікових записів, електронні та фізичні адреси, атакуючи API та трафік API. Однак за своєю природою захист API та їх інтеграція в стратегію «нульової довіри» створює різні проблеми для організацій, які потребують перегляду свого підходу до безпеки.
Хакери люблять атакувати API
«Дивно, як багато пілотів, навіть у Формулі 1, вважають, що гальма існують для того, щоб уповільнити машину.» За допомогою цієї дотепи гонщик Маріо Андретті одного разу вказав на той факт, що гальма, крім свого очевидного призначення, також існують для контролювати нахил і вагу автомобіля і таким чином оптимізувати проходження поворотів. Подібним чином застосування політики ІТ-безпеки в ідеалі має вдосконалювати базові процеси, а не ускладнювати їх і, таким чином, більше розчаровувати користувачів.
Існують API скрізь, де потрібно прискорити, спростити або вдосконалити шлях користувача: наприклад, щоб здійснювати платежі кредитною карткою в цифрових процесах замовлення або проводити дистанційне технічне обслуговування та оновлення пристроїв. Відповідно до претензії, безпека повинна бути «на борту» в таких сценаріях застосування з самого початку, але реальність показує, що хакери зловживають API для власних цілей. Це повторюється знову і знову через неадекватні процеси автентифікації та авторизації.
Використовуються API без автентифікації
Наприклад, минулої весни експерти з безпеки API Salt Security виявили API у компанії John Deere, відомої серед іншого своїми тракторами, до якого хакери могли зателефонувати, щоб визначити, чи використовується певне ім’я користувача. Експерти автоматизували процедуру запитів, яка дозволила їм протягом двох хвилин визначити, яка з компаній зі списку Fortune 1000 мала облікові записи John Deere, оскільки API не вимагав автентифікації чи обмеження кількості запитів. Близько 20 відсотків компаній мали обліковий запис.
Інша кінцева точка API дозволила надсилати ідентифікаційний номер транспортного засобу (VIN) і отримувати велику кількість метаданих про пристрій, власника та місцезнаходження. Хакери можуть легко отримати номери VIN із звичайних аукціонних сайтів. Хоча API вимагав автентифікації, йому не вдалося належним чином авторизувати відправників запитів API.
Нульова довіра протягом життєвого циклу API
Очевидно, що «запроектовану безпеку» як основу захисту даних в ІТ важко реалізувати за допомогою API. Іноді це може бути пов’язано з тим, що процеси розробки API в основному базуються на бізнес-специфікаціях і організаційно відокремлені від процесів ІТ-безпеки. Різні учасники в компаніях розробляють і надають API, необхідні для своїх цілей. Або вони переймають інтерфейси в інших компаній. Припущення, що ці API підключені до мережевої інфраструктури і, отже, до структури безпеки, що їх оточує, дає користувачам помилкове відчуття безпеки. Однак зазвичай цього недостатньо для захисту потоків даних через API як поза, так і всередині компанії.
Особливо останній вимагає власних заходів безпеки. Тому що не кожен доступ, який надходить із вашої власної інфраструктури, автоматично авторизується. Щоб по-справжньому й ефективно контролювати запити, технології безпеки також мають стосуватися людей, процесів і моделей доступу. Крім того, завжди діє принцип: довіра – це добре, контроль – краще. Таким чином, нульова довіра вимагає, щоб кожен пристрій і з’єднання проходили автентифікацію кожного разу, коли до них звертаються, щоб отримати авторизований доступ. Для того, щоб це також було надійно успішно з API, необхідні заходи безпеки протягом усього життєвого циклу інтерфейсів. Щоб запобігти тому, щоб API стали вразливими для безпеки, компаніям слід дотримуватися цих п’яти основних правил:
- Наскрізна автентифікація та авторизація: Пов’язані процеси мають відбуватися не лише безпосередньо в API чи шлюзі. Їх потрібно повторити в базових програмах.
- Використовуйте процеси Continuos Integration/Continuos Delivery: Розробники повинні перевірити, як вони можуть інтегрувати інструкції з безпеки у свої виробничі цикли та які процеси перевірки вони можуть автоматизувати за допомогою CI/CD під час цього.
- Впровадити автоматизовані заходи безпеки: Групи операцій з безпеки повинні гарантувати, що дані, якими обмінюються через комунікації API, захищені під час передачі як в межах інфраструктури, так і з іншими системами. Для цього процеси повинні автоматично застосовувати політики, наприклад, для захисту даних від доступу, де б вони не були.
- Знімайте все централізовано: Щоб краще поєднати ІТ-безпеку та розробку додатків, важливо реєструвати та аналізувати всі процеси та, якщо необхідно, перевіряти їх на наявність ризиків. Відповідним місцем для цього є центральне сховище, у якому відповідальні особи можуть відстежувати всі процеси в будь-який час.
- Співпраця з ІТ-безпекою: Команди розробників API мають співпрацювати з спеціалістами з ІТ-безпеки. Разом вони можуть визначити, наскільки ефективними є існуючі заходи щодо можливих проблем із безпекою API, і за потреби розширити їх. Вони також повинні розглянути різні сценарії втрати даних і розробити план на випадок надзвичайних ситуацій. За будь-яких обставин слід уникати тіньового API, про який знають лише відділи, які його використовують.
Створіть прозорість і здійсніть контроль
Безпека та обмін даними можуть являти собою суперечності, і це також і особливо стосується API: з одного боку, компанії використовують їх, щоб розбити процеси, відкрити свої структури, спростити процеси для користувачів і розширити свою бізнес-модель. З іншого боку, вони не повинні втрачати контроль над трафіком даних на цьому етапі. Щоб узгодити ці два аспекти, компаніям потрібна прозорість. Усі, хто бере участь, повинні бути впевнені, що вони знають і надійно керують усіма API, які вони використовують.
Шлюзи API можуть допомогти їм автоматично виявляти всі API в компанії та застосовувати політики безпеки. Ефективне рішення для керування API відстежує, хто використовує які API, а також попереджає менеджера про будь-яку незвичайну або підозрілу поведінку, яка може вказувати на те, що на роботі є неавторизована особа. Охороною займаються і відповідні відомства. У поєднанні з централізованим керуванням API організації можуть вбудовувати безпеку протягом усього життєвого циклу API та захищати його від несанкціонованого втручання в обмін даними без шкоди для взаємодії з користувачем.
Більше на Axway.com
Про Axway
Axway привносить новий імпульс у існуючу ІТ-інфраструктуру, допомагаючи більш ніж 11.000 XNUMX клієнтів у всьому світі розвивати те, що вони вже мають, і досягти цифровізації, нових можливостей для бізнесу та зростання. Платформа керування API Amplify — це єдина відкрита незалежна платформа для керування та керування API командами, гібридною хмарою та зовнішніми рішеннями.