Rozhraní API (Application Programming Interfaces) se stala zásadně důležitou součástí sítí, programů, aplikací, zařízení a téměř všeho ostatního ve sféře IT.
Využíváte už některé z inovativních metod šifrování?
Platí to zejména pro oblasti cloudu a mobilní výpočetní techniky, které by pravděpodobně nemohly neexistovat ve své současné podobě, kdyby rozhraní API nezajišťovala vzájemnou spolupráci a nestarala se o funkce back-endu.
Pro svou spolehlivost a jednoduchost se rozhraní API stala všudypřítomným prvkem IT. Většina organizací pravděpodobně ani neví, kolik rozhraní API pracuje v jejich sítích, zejména v jejich cloudech.
Ve větších společnostech fungují pravděpodobně tisíce rozhraní API, a dokonce i menší organizace pravděpodobně využívají více rozhraní API, než si dokážou představit.
Nebezpečí v API
S velkou užitečností API se ale pojí také vznik nebezpečí. Protože existuje jen málo standardů pro tvorbu API a protože je mnoho z nich jedinečných, není neobvyklé, že API obsahují zneužitelné zranitelnosti.
Zločinci zjistili, že útoky na API jsou často mnohem snadnější než přímo na programy, databáze, aplikace či sítě. Po kompromitaci není těžké změnit funkce rozhraní API, což z něj udělá jakousi obdobu zrádného zaměstnance pracujícího pro hackera.
Dalším velkým nebezpečím od API je, že mají téměř vždy nadbytečná oprávnění. Programátoři jim dávají vysoká oprávnění, aby rozhraní mohla garantovaně a nerušeně plnit své funkce.
Pokud je však útočníci zneužijí, mohou využít tato vysoká oprávnění k jiným účelům, stejně jako by zkompromitovali účet fyzického člověka s oprávněním administrátora.
Je to obrovský problém, který dokumentuje výzkum společnosti Akamai popisující fakt, že útoky na API celosvětově tvoří 75 % všech pokusů o krádež přihlašovacích údajů. Útočníci vědí, že rozhraní API jsou jak zranitelná, tak i všudypřítomná, takže se na ně zaměřují.
Vzestup nástrojů
Vzhledem k závažnosti problému s hackováním rozhraní API není žádným překvapením, že v posledních letech také došlo k rozmachu bezpečnostních nástrojů zaměřených právě na API.
Existují desítky komerčních nástrojů určených k ochraně rozhraní API a stovky dalších v podobě open source softwaru. Mnoho z nich sdílí podobnosti a funkčnost s ostatními typy kyberbezpečnostních programů, ale jsou nakonfigurované specificky pro unikátní povahu API.
Video ke kávě
Máte čas na rychlé a informativní video?
Obecně spadají bezpečnostní nástroje pro rozhraní API do jedné z několika kategorií, přestože některé nabízejí kompletní platformy, které se snaží dělat vše najednou.
Nejoblíbenějším typem bezpečnostních nástrojů pro API jsou v současné době takové produkty, které je skryjí před škodlivými požadavky, tedy něco jako firewall pro rozhraní API.
Jiné nástroje jsou navržené tak, aby se dynamicky snažily využívat a kontrolovat konkrétní API, zda neobsahuje zranitelnosti, aby bylo možné zvýšit odolnost jeho kódu proti útokům.
Další jednoduše skenují prostředí, aby se organizace dozvěděla, kolik API v její síti vlastně existuje, protože nikdo nemůže chránit to, o čem neví.
Vytvoření úplného seznamu kyberbezpečnostních nástrojů pro rozhraní API by bylo velmi náročné vzhledem k tomu, kolik jich je. Pokud se však zaměříme na uživatelské a komerční recenze, uvidíme několik nástrojů, které vynikají.
Níže uvádíme některé z nejlepších nástrojů dostupných pro zlepšení zabezpečení API společně se stručným popisem jejich silných stránek a funkcí. Tento seznam jich sice neobsahuje stovky, ale může být dobrou ukázkou toho, co je dostupné a možné, když budete chtít API v současném světě plném rostoucích hrozeb zabezpečit.
Zde je tedy devět z nejlepších dostupných bezpečnostních nástrojů:
· APIsec
APIsec je jedním z nejpopulárnějších bezpečnostních nástrojů pro API. Je téměř zcela automatizovaný, takže je ideální pro organizace, které se zlepšováním svého zabezpečení rozhraní API právě začínají. V produkčním prostředí, kde se již rozhraní API používají, je APIsec proskenuje a otestuje na přítomnost běžných zranitelností, jako jsou např. útoky injektáží skriptů.
Dokáže však také pro každé API udělat zátěžový test, aby se zjistilo, zda je odolné vůči útokům na firemní procesy, které není snadné odhalit. V případě nálezu problémů předá podrobné výsledky bezpečnostním analytikům.
APIsec mohou také aktivně použít vývojáři při tvorbě API. Tak dojde k odstranění zranitelností ještě před implementací těchto rozhraní do produkčního prostředí. APIsec však může nadále vykonávat pro jistotu kontroly i po implementaci v produkčním prostředí.
· Astra
Astra je bezplatné řešení, avšak podpora je omezená a uživatelé si při instalaci do svého prostředí musejí tento nástroj stáhnout z GitHubu. Tento produkt má hvězdnou pověst, protože nabízí pomoc se správou a ochranou velmi specifického typu rozhraní API.
Astra se převážně zaměřuje na API typu REST, která může být velmi obtížné testovat a zabezpečit, protože se často mění. Astra pomáhá integrací do potrubí CI/CD (kontinuální integrace a kontinuální dodávky).
Zajišťuje, že nejběžnější zranitelnosti, které mohou postihnout API, neproniknou zpět do hypoteticky zabezpečených rozhraní REST API, jak se neustále mění v rámci své funkce.
· AppKnox
Platforma AppKnox je známá pro velkou podporu své uživatelské základny. Platforma má velmi snadno použitelné rozhraní, ale tato společnost nabízí také velkou pomoc při nasazení a používání.
AppKnox si našel cestu do mnoha organizací s malými bezpečnostními týmy, protože podporuje bezpečnostní funkce pro API s minimálním úsilím. Po instalaci totiž otestuje API na výskyt běžných problémů, jako jsou zranitelnosti HTTP, možnosti injektáže SQL a mnoho dalších.
Zkontroluje také všechny zdroje, které se spojují s rozhraním API, aby se snížilo riziko, že by se staly použitelnou cestou útoku pro hackery.
· Cequence Unified API Protection
Platforma Cequence Unified API Protection je navržená pro organizace nasazující podniková prostředí, která možná budou muset každý den zvládnout miliardy požadavků vůči jejich API.
Tato škálovatelná ochranná platforma nejprve zjistí všechna API v organizaci a následně je zapíše do rozsáhlého inventáře. Poté lze udělat obecné testy rozhraní API na výskyt zranitelností nebo mohou bezpečnostní týmy definovat specifické testy, které je nutné učinit pro různé skupiny API.
Je to velmi užitečné nejen pro zabezpečení API, ale je to také pomoc při plnění vládních a oborových předpisů, které vyžadují, aby se používala konkrétní ochrana.
Zaměření Cequence na podniky také přináší schopnost nakonfigurovat automatickou ochranu a akce, které by se měly vykonat v reakci na útok nebo na podezřelou interakci s rozhraním API.
Protože to Cequence zajišťuje samostatně, není nutné využívat externí bezpečnostní zařízení jako firewally pro aktivaci takové ochrany. To udržuje zátěž mimo tato externí periferní řešení a zrychluje dobu odezvy tak, že se API téměř okamžitě ochrání před živými hrozbami.
· Data Theorem API Secure
Produkt API Secure dokáže inventarizovat každé rozhraní API, které existuje v síti, cloudu, aplikaci či jiném cíli. Díky tomu je to skvělá volba pro organizace, jež chtějí posílit zabezpečení svých API, ale nevědí, kde začít, a dokonce ani kolik jich používají.
API Secure také udržuje aktuálnost inventáře rozhraní API a rychle najde nová API při jejich nasazení.
Po nainstalování začne API Secure fungovat jako hacker a testuje každé API na výskyt zranitelností. Rozhraní API může být označené, aby je dále přezkoumal člověk, nebo může samostatně dojít k automatickému zmírnění mnoha zranitelností.
· Salt Security API Protection Platform
API Protection Platform představuje extrémně pokročilé řešení, které bylo jedním z prvních plně využívajících umělou inteligenci a strojové řešení k detekci a zastavení hrozeb pro API.
Tato platforma tak činí shromažďováním provozu API z celé sítě, analýzou volání rozhraní API a následných reakcí. Poté se porovnává to, co vidí lokálně, s provozními daty uloženými v cloudovém stroji big dat.
Následně dokáže zastavit většinu útoků, označit podezřelou aktivitu, upozornit bezpečnostní týmy tvořené lidmi a vykonat aktivity na základě svého nastavení.
Platforma se v průběhu času neustále učí, a čím déle zkoumá síť s rozhraními API, tím přesnější se stává při určování toho, co je v dané konkrétní síti přijatelné chování.
· Noname Security
Platforma Noname Security si vytvořila dobrou pověst ve velkých korporacích díky podpoře obrovských podnikových prostředí. Údajně se využívá ve 20 % společností ze seznamu Fortune 500.
Její koncepce přesahuje hranice standardní ochrany rozhraní API kontrolou zranitelností, které některé platformy nabízejí, a analyzuje provozní data procházející rozhraními API. Následně zapojí umělou inteligenci a strojové učení a hledá škodlivé aktivity.
Noname Security podporuje při svém testování jak běžná, tak i nestandardní API. Například plně podporuje HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC a gRPC.
S využitím provozních dat může dokonce najít, katalogizovat a chránit API, která se nespravují bránou rozhraní API, a také svépomocí vytvořená API, jež nedodržují žádné standardní protokoly.
· Smartbear ReadyAPI
Smartbear ReadyAPI se zaměřuje na vývojové prostředí a lze ho využívat nejen k testování rozhraní API na výskyt bezpečnostních zranitelností při vývoji, ale také k monitorování výkonu. Vývojáři tak mohou vidět, co se děje, když se API setká s velkým objemem dat, což také může být bezpečnostní problém.
Jako součást takového testování mohou uživatelé nakonfigurovat, jaký druh provozu má téct do API při vývoji. ReadyAPI také dokáže zachytit reálný provoz ze sítě organizace a následně ho použít pro velmi realistické testy. ReadyAPI podporuje nativně Git, Docker, Jenkins, Azure DevOps, TeamCity a další.
· Wallarm End-to-End API Security
Přestože byla platforma Wallarm End-to-End API Security navržená tak, aby pracovala v nativně cloudovém prostředí, kde existuje mnoho API, dokáže také podporovat zabezpečení rozhraní API, která se nacházejí ve vlastní infrastruktuře firem.
Je designovaná tak, aby chránila před jakoukoli hrozbou pro API – od těch ze seznamu hlavních zranitelností OWASP (Open Web Application Security Project) až po specifické hrozby, jako jsou útoky credential stuffing často používané vůči API.
Wallarm také dokáže pomoci zmírnit útoky DDoS, průzkumné ataky a přímé útoky prostřednictvím botů. Vzhledem k tomu, že většina provozu na internetu v současné době pochází právě od botů, je dobré tak hezkou funkci v bezpečnostním nástroji mít.
Tato platforma také poskytuje hluboké poznatky a přehled portfolia rozhraní API organizace na základě uživatelského provozu, což přináší poznatky nejen z oblasti zabezpečení, ale také informace o způsobu využívání API v podniku a jaké oblasti může být potřebné vylepšit.
To sice není primární účel této platformy, ale podrobné zprávy určitě mohou být při jejím používání užitečné jako bonus i v dalších oblastech mimo bezpečnost.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
Chcete si článek přečíst celý?
Tento článek je součástí exkluzivního obsahu pouze pro odběratele našeho newsletteru.
Přihlaste se k odběru newsletteru a my vám do mailu pošleme odkaz na celý článek.