API (интерфейс прикладного программирования) помогает соединить несколько приложений или программных систем на нескольких устройствах, определяет виды вызовов или запросов, которые они могут делать, способы выполнения вызовов, форматы данных, которые должны использоваться, и какие соглашения должны соблюдаться. API превратились в важнейшие средства взаимодействия, которые обеспечивают связь между различными архитектурами приложений, способствуя более быстрой интеграции и развертыванию новых услуг. На них также полагаются программы разработки программного обеспечения для предоставления услуг, управления платформой и непрерывного развертывания.
Современные архитектуры приложений, включающие мобильные устройства, облачные системы данных и микросервисные модели проектирования, требуют использования множества API в качестве шлюзов, обеспечивающих взаимодействие между различными веб-приложениями.
Злоупотребление API
Последствия злоупотребления API
Уязвимости в API используются киберпреступниками и недобросовестными сторонами для кражи персонально идентифицируемой информации (PII) и важных для бизнеса данных, проведения атак по захвату аккаунтов и систематического выполнения кампаний по соскабливанию содержимого веб-сайтов. Ниже перечислены основные атаки на API, которые осуществляются ботами:
Распределенный отказ в обслуживании приложений (DDoS).
API могут быть атакованы хакерами и киберпреступниками, которые намеренно перегружают API большими объемами трафика ботов с различных устройств и IP-адресов. Для предприятий под угрозой оказываются критически важные сервисы, такие как службы входа в систему, управления сеансами и другие сервисы, обеспечивающие работоспособность и доступность приложений для пользователей.
Злоумышленники, проводящие DDoS-кампании, часто используют асимметричные методы, с помощью которых они отправляют небольшие объемы данных для создания вызовов API, что обычно приводит к сильной перегрузке серверов, поскольку им приходится отвечать на такие вызовы API гораздо большими объемами данных. Такие атаки серьезно перегружают системные ресурсы и значительно увеличивают время отклика сервера для всех пользователей системы.
Захват учетных записей
Хакеры развертывают ботнеты для проведения атак по захвату аккаунтов, программно отправляя вызовы API для проверки списков украденных комбинаций имен пользователей и паролей. Хотя системы управления API не принимают недействительные попытки входа в систему, они, как правило, не способны остановить большое количество ботов, исходящих с нескольких IP-адресов, которые продолжают пробовать различные комбинации учетных данных в надежде найти правильные учетные данные для входа в систему. Известно, что изощренные хакеры ограничивают скорость выполнения ботами API-запросов, чтобы обычные системы безопасности не могли их обнаружить.
Веб-скрепинг
Конкуренты, мошенники и «ночные летуны», создающие веб-сайты для обмана потребителей, часто плагиатят содержимое всего веб-сайта, проводя систематические кампании по сбору данных с помощью ботов для извлечения данных из API. Хакеры также пытаются перепрограммировать веб-приложения и мобильные приложения, чтобы перехватывать вызовы API и осуществлять атаки с помощью скраппинга.
Как предотвратить злоупотребление API
Лучшие методы защиты API от злоупотреблений:
- Мониторинг и управление вызовами API, поступающими от ботов
- Прекратите использовать устаревшие и небезопасные методы аутентификации
- Примите меры по предотвращению доступа к API со стороны сложных человекоподобных ботов
- Используйте надежное шифрование для защиты процессов входа в систему
- Разверните ограничение скорости на основе токенов, оснащенное функциями ограничения доступа к API на основе количества IP, сессий и токенов.
- Всестороннее протоколирование всех системных запросов и ответов
- Сканирование входящих запросов на предмет вредоносных намерений
- Поддержка кластерной реализации API для обеспечения отказоустойчивости
- Отслеживать использование и пути, пройденные вызовами API, для поиска аномалий.
Ведущие аналитические организации рекомендуют предприятиям внедрять эффективные меры безопасности API.