Логотип
Баннер в шапке 1
Баннер в шапке 2
2024/05/28 17:34:41

API Management 2.0: российский софт на страже защиты от кибератак

Сегодня Application Programming Interface (API) не просто популярная технология обмена данными между приложениями, а комплекс различных сервисов, без которого невозможно взаимодействие между приложениями, обеспечивающими стабильность и окупаемость бизнеса.

Содержание

У каждой компании есть свой необходимый набор API. Благодаря распространению микросервисной архитектуры, количество API и объем трафика проходящего через них увеличиваются ежегодно. Использование API обеспечивает удобную и надежную связь между приложениями, но требует технической поддержки инфраструктуры API и обеспечения защиты передаваемых данных.

Управление имеющимися API выделяют в методологию API Management — набор фреймворков, которые помогают разработчикам и компаниям создавать, анализировать, применять и масштабировать интерфейсы API в безопасном исполнении.

С другой стороны, существует подход API First, предполагающий восприятие API, как основной части приложения. При этом логично выделять и сам процесс разработки API в отдельном цикле, который включает несколько этапов и ориентирован на достижение сочетания качества, скорости и безопасности.

Безопасность разработки и использования API

Если перед вами уже стоит задача снижения рисков атак на API или вы задумываетесь о сокращении эксплуатируемых уязвимостей веб-приложениях, то стоит ближе познакомиться с программными продуктами компании Вебмониторэкс для защиты API. О них пойдет речь далее.

Продукт «ПроAPI Структура»

Актуальные проблемы с API связаны с их активным повсеместным применением. Чаще всего компании сталкиваются с такими:

  • В инфраструктуре становится так много версий API с разными параметрами, что пропадает понимание, какие эндпоинты несут наибольшую угрозу.
  • Непонятно, что происходит с API от момента дизайна до публикации.
  • Без требований к API не получается организовать процесс их контроля, а при наличии требований — не получается автоматизировать.

Преодолеть эти трудности можно с помощью продукта «ПроAPI Структура» от компании Вебмониторэкс. В задачи этого продукта входит обеспечение наблюдаемости всех API, имеющихся в инфраструктуре, и их отображение в виде OpenAPI спецификации.

Рис. 1. Интерфейс продукта «ПроAPI Структура»

Построение структуры API происходит на основании статистики запросов на эндпойнты. Редкие или одиночные запросы определяются как шум и не учитываются в структуре API. За счет этого становится возможно:

  • определить публичные и внутренние API;
  • понять через какие API передается чувствительная информация, например, персональные данные;
  • отфильтровать эндпойнты подвергающиеся атаке;
  • отследить изменения в структуре API за выбранный промежуток времени;
  • получить полный список вредоносных запросов, направленных на конкретный эндпойнт;
  • скачать построенную структуру в формате OpenAPI 3.0;
  • настроить правила межсетевого экрана, являющегося еще одним продуктом в линейке «Вебмониторэкс»;
  • загрузить OpenAPI спецификацию (OAS) и сравнить ее с фактически трафиком.

Рис. 2. Подробная информация в интерфейсе продукта «ПроAPI Структура»

Благодаря функции сравнения спецификации появляется возможность выявлять среди обнаруженных API:

  • теневые (shadow) API (скрытый, недокументированный API, который не был описан в OAS, но на него есть трафик);
  • неиспользуемые (orphan) API (обозначенный роут в загруженной спецификации без трафика);
  • призрачный (zombie) API (API был описан в спецификации, затем удален из нее, но все равно продукт фиксирует трафик на него).

Подробнее о сравнения спецификаций можно узнать в документации продукта.

Набор функциональностей, реализованных в этом продукте предназначен для использования в процессе управления API компании на разных стадиях зрелости. Более подробно о продукте «ПроAPI Структура» и его возможностях можно узнать из нашей документации.

Продукт «ПроAPI Защита»

Существует множество различных способов защиты веб-приложений, и наибольшую популярность получили решения основанные на позитивной модели защиты. Продукт «ПроAPI Защита» от компании Вебмониторэкс работает на основе такой модели.

Это межсетевой экран в форм-факторе высокопроизводительного прокси-сервера, который обрабатывает трафик на основе спецификации OpenAPI v3 или GraphQL с целью защиты конечных точек приложения. «ПроAPI Защита» — передовой продукт, разработанный для проверки запросов и ответов веб-приложений.

Продукт оперирует на основе позитивной модели безопасности, что означает, что только те запросы, которые полностью соответствуют спецификации API, будут пропущены. Все запросы, которые не указаны в Open API Specification (OAS) будут автоматически заблокированы как потенциально небезопасные, обеспечивая надежную защиту вашего приложения от угроз.

Работа в режиме мониторинга обеспечит обнаружение теневых API и недокументированных конечных точек API и регистрацию некорректных запросов и ответов, которые не соответствуют спецификации.

«ПроAPI Защита» — надежный инструмент для обнаружения Shadow API (недокументированные конечные точки API, которые могут содержать устаревшую или небезопасную информацию и стать причиной утечек данных или компрометации системы).

Использование этого продукта для защиты REST API гарантирует обеспечение безопасности веб-приложений, а также валидирует JWT-токены в OAuth 2.0 аутентификации для повышения безопасности при работе с данными.

Продукт «ПроAPI Тест»

Еще одна актуальная проблема — своевременное выявление различных ошибок и уязвимостей в API и веб-приложениях. Чтобы оперативно реагировать на такие прорехи в безопасности, компания Вебмониторэкс разработала продукт «ПроAPI Тест».

Этот продукт для тестирования API представляет собой комплексный инструмент, способный быстро обнаружить даже самые сложные уязвимости, например, 0-day.

«ПроAPI Тест» умеет самостоятельно разбирать OpenAPI 3.0 спецификации и на основе них строить тесты защищенности роутов и их параметров. Для каждого эндпоинта и передаваемых внутри него параметров динамически составляется набор тестов на безопасность, включающий различные типы payload, начиная от SQL-инъекций и заканчивая SSRF.

Важная отличительная особенность продукта — гибкие политики тестирования для адаптации тестирования под конкретные потребности любого проекта.

Интеграция с продуктом «ПроAPI Структура» значительно упрощает процесс внедрения «ПроAPI Тест», так как обеспечит возможность пропустить шаг с первичным написанием спецификации вручную. Пользователям больше не нужно тратить время на первичное описание API, спецификация будет сформирована автоматически на основе анализа трафика. Благодаря этой интеграции, «ПроAPI Тест» поможет быстро адаптироваться к изменениям в API, обеспечит моментальный анализ новых роутов и параметров, обнаруженных в структуре API.

Вывод

Чтобы оперативно реагировать на изменения, обеспечивать безопасность своих веб-приложений и API, а также реализовать широкий спектр возможностей обнаружения уязвимостей на основании их структуры и трафика, нужен комплексный подход. Безопасная разработка и защита API выходит на первый план. Меры, принятые для сохранения и стабилизации работы программных интерфейсов приложений, гарантируют снижение рисков утечек данных, рост их защищенности и, как следствие, сохранение бизнеса. Получить подробную информацию о пилотировании продуктов компании Вебмониторэкс можно на сайте.

Источник — «https://prom.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:API_Management_2.0:_%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9_%D1%81%D0%BE%D1%84%D1%82_%D0%BD%D0%B0_%D1%81%D1%82%D1%80%D0%B0%D0%B6%D0%B5_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B_%D0%BE%D1%82_%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA»

Править
Короткая ссылка   |  Просмотров: 2959

erid: LjN8Ju3UK

Компания: ООО "ВЕБМОНИТОРЭКС"

ИНН\ОГРН: 7735194651\1227700238545

Сайт: перейти
Продажи препаратов от ожирения в мире за год достигли $24 млрд
«Озон Фармацевтика» увеличила годовую выручку на 4%
Благодаря цифровизации онколабораторий время на постановку диагноза в Москве сократилось на 20%
В России за год выпущено 1 млрд медицинских шприцев
Как СберТаргет автоматизирует создание рекламных кампаний и попадает точно в аудиторию
«Газинформсервис» за год создал свой коммерческий SOC
Как перенести 300 Тбайт данных с решений IBM и Oracle на российские. Опыт Россельхозбанка
Николай Кныш, технологический директор «Леруа Мерлен» — о «граблях» цифровой трансформации, на которые есть риск наступить
Конференция «Digital Transformation Day 2024» состоится 24 сентября
Пятая ежегодная конференция UserGate: от микроэлектроники для ИБ — к комплексной экосистеме
11 сентября состоится конференция «Импортозамещение 2024: реальный опыт»
Конференция «IT Retail Day 2024» состоится 16 октября
Конференция «ИТ в промышленности 2024» состоится 17 сентября
Конференция «IT Infrastructure Day 2024» состоится 23 октября
API Management 2.0: российский софт на страже защиты от кибератак
Антон Иманов, CSI: Самообслуживание в магазине — это комплексное решение с достижением бизнес-целей
В NGFW «Континент 4» будет добавлена поддержка IPsec и IKEv2
Продолжается набор в Build UP — крупнейший в России акселератор в области строительства и девелопмента. Подать заявку на участие
На бывшего ИКТ-начальника Управделами президента РФ завели уголовное дело о махинациях при закупках ПО
Иногда проблема не в системе, а во взгляде на нее: как ITFB Group перевнедрила CRM в СИБУРе
Как передать разработку новому подрядчику и не уничтожить проект
Олег Федоров, Linx Cloud: Хороший ИТ-партнер — тот, кто помогает вам отразить DDoS-атаку 1 января
TAdviser выпустил Карту российского рынка программного обеспечения
ИТ-ландшафт российских организаций в области систем резервного копирования и смежных типов ПО. Результаты исследования TAdviser
TAdviser выпустил Карту производителей российских программно-аппаратных комплексов
Универсальная ракета для анализа машинных данных: Smart Monitor 4.0