Rozwiązania bezpieczeństwa API

Interfejsy API są unikalne ze względu na wiele cech. Na przykład interfejsy API wymieniają dane między systemami, podczas gdy aplikacje internetowe są dostępne dla użytkowników końcowych za pośrednictwem przeglądarki internetowej. Interfejsy API używają również innego formatu do przesyłania danych i uzyskują bezpośredni dostęp do systemów zaplecza – często służą jako pośrednik między nowoczesnymi aplikacjami internetowymi a ich bazami danych i serwerami zaplecza. Ze względu na te i inne różnice, metodologia wykrywania bezpieczeństwa API różni się od bezpieczeństwa aplikacji internetowych, nawet w pokrywających się kategoriach podatności, takich jak ataki iniekcyjne i zagrożenia dostępu.

Istnieje kilka różnych podejść dla organizacji do zarządzania całym wzrostem ich API — zarządzanie API w pełnym cyklu życia, obserwowalność API oraz, bardziej holistycznie, ochrona aplikacji internetowych i API (WAAP). Narzędzia obserwowalności API zapewniają obserwacje i wgląd (a nie bezpieczeństwo) w wydajność interfejsu API. Zarządzanie interfejsami API w pełnym cyklu życia często koncentruje się na zarządzaniu interfejsami API, przy jednoczesnym braku zaawansowania w zakresie bezpieczeństwa. WAAP, czyli aplikacja internetowa i ochrona, jest definiowana przez firmę Gartner jako kategoria rozwiązań bezpieczeństwa zaprojektowanych w celu ochrony aplikacji internetowych niezależnie od ich hostowanych lokalizacji. WAAP jest najbardziej odpowiedni dla API w fazie produkcyjnej, monitorowania w czasie rzeczywistym i ochrony przed nadużyciami, zagrożeniami typu zero-day i atakującymi.

Interfejsy API REST umożliwiają klientowi żądanie zasobów od serwera, który zwraca klientowi informacje w ich aktualnym stanie. Atakujący mogą obrać za cel API w dowolnym momencie „wywołania i odpowiedzi” REST API. Dlatego zapobieganie nadużyciom REST API wymaga jedynie autoryzacji uwierzytelnionego, „dobrego” ruchu API, aby blokować żądania od nielegalnych klientów. Metody uwierzytelniania i autoryzacji API obejmują certyfikaty mTLS, tokeny internetowe JSON, prawidłowe klucze API, tokeny OAuth 2.0 i inne.

Klucze dostępu API, które odłączają uwierzytelnianie od poświadczeń użytkownika i zamiast tego wysyłają tajne ciągi tekstowe wraz z żądaniami API, pozwalają na bezpieczniejszy dostęp do interfejsów API. Jednak klucze API nadal mogą być narażone na ryzyko związane z atakami typu man-in-the-middle, niewłaściwym wykorzystaniem przez deweloperów i problematycznym przechowywaniem sekretów w kodzie źródłowym. Tokeny sieciowe JSON (JWT) oferują bezpieczniejszą i bardziej elastyczną alternatywę dla statycznych kluczy API, o ile JWT są podpisane przy użyciu bezpiecznych algorytmów kryptograficznych, unikają wrażliwych danych w ładunku i wymuszają wygaśnięcie tokena.

Różne wskaźniki mogą pomóc interesariuszom z działów IT, bezpieczeństwa i rozwoju aplikacji w ocenie poziomów bezpieczeństwa API. Na przykład organizacja z solidnym modelem bezpieczeństwa API powinna mieć aktualny wykaz zasobów API, który pokazuje, że wszystkie interfejsy API są zgodne z danymi i używają silnych metod uwierzytelniania lub autoryzacji. Audyty powinny być również przeprowadzane w celu zidentyfikowania ujawnionych / nieujawnionych danych uwierzytelniających używanych w żądaniach API oraz w celu skanowania pod kątem informacji umożliwiających identyfikację (PII), danych kart kredytowych lub osobistych informacji zdrowotnych w żądaniach / odpowiedziach API. Możliwość ustawienia adaptacyjnych, inteligentnych limitów szybkości dla interfejsów API, określonych na podstawie obserwowalnych wzorców ruchu dla każdego punktu końcowego — sygnalizuje również bardziej zaawansowane zabezpieczenia API.

Nadużywanie API odnosi się do złośliwego wykorzystywania interfejsów API poprzez wykorzystywanie błędów logiki biznesowej i luk w zabezpieczeniach aplikacji, które utrudniają lub pogarszają doświadczenia użytkownika. Najczęściej we współczesnych interfejsach API narażenie danych, nieautoryzowane działania, obejście kontroli bezpieczeństwa, zakłócenie działania usług i podniesienie uprawnień występują z powodu braku kontroli uwierzytelniania i autoryzacji znanych jako uszkodzona autoryzacja na poziomie obiektu (BOLA) i uszkodzona autoryzacja na poziomie funkcji (BFLA).