В 2025 г. команды безопасности должны уделять приоритетное внимание мониторингу, обнаружению угроз и защите API как от автоматизированных, так и от традиционных атак, чтобы обеспечить безопасность конфиденциальных данных, пишет на портале ITPro Today Роб Дикинсон, вице-президент Graylog по инжинирингу.
В 2024 г. ландшафт безопасности API изменился, что было отмечено значительными приобретениями и слияниями между поставщиками, а также продолжающимся финансированием сектора для решения проблемы безопасности API. Кроме того, ущерб, наносимый уязвимостями API, стал более очевидным, а такие громкие дела, как кража базы данных клиентов Dell и скрейпинг данных Trello, стали достоянием общественности. Согласно исследованию Akamai «2024 API Security Impact Study», 84% респондентов сталкивались с инцидентами безопасности API за последние 12 месяцев, что является рекордным показателем (по сравнению с 78% в
Проблемы, присущие API
API по своей сути являются непрозрачными и сложными для мониторинга, что затрудняет обнаружение уязвимостей и эксплойтов. Видимость API низкая; команды безопасности не могут просматривать API так же, как веб-браузер, чтобы убедиться, что система работает правильно. Организации часто не в курсе, сколько у них API, когда они изменяются и когда добавляются новые. Хотя API имеют решающее значение для бизнеса многих компаний, их безвестность затрудняет эффективное управление ими.
Все мы знаем, что безопасность API имеет неоценимое значение: она позволяет выявлять потенциальные угрозы безопасности, связанные с доступом к API, подозрительной активностью и аномальным поведением API, а также позволяет организациям обнаруживать и реагировать на инциденты, связанные с API. Однако проблемы здесь огромны и включают в себя разрастание API. Разработка API различными командами приводит к появлению плохо документированных и неуправляемых теневых API. Они становятся все более «слепой зоной» для организаций и приводят к потенциальным нарушениям. Методы и приемы злоумышленников также становятся более изощренными, а искусственный интеллект и автоматизация помогают им добиваться значительных успехов.
Эволюция атак на API и роль ИИ и автоматизации
Атаки на API, основанные на ИИ и автоматизации, не заставили себя ждать. В отчете «API Security Perspectives 2025» компании Kong, специализирующейся на облачных API-технологиях, говорится, что 25% респондентов сталкивались с усиленными ИИ угрозами безопасности, связанными с API или большими языковыми моделями (LLM), а 75% выразили серьезную обеспокоенность по поводу атак, усиленных ИИ, в будущем.
Злоумышленники переходят от «тупых» атак — например, веб-атак, направленных на получение данных от третьих лиц и на конкретную или единственную уязвимость, — к «умным» атакам, управляемым ИИ, которые часто выбирают актуальную цель, что приводит к более целенаправленным атакам. Атаки на конкретную организацию, возможно, крупную или даже национальное государство, вместо поиска уязвимых людей — это значительный сдвиг. Сложность атак возрастает, поскольку злоумышленники манипулируют полезной нагрузкой запросов, чтобы обмануть бэкенд-систему и заставить ее выполнить то или иное действие. Остановить атаку на API, управляемую ИИ, — все равно что найти иголку в стоге сена, учитывая количество людей, одновременно использующих данный API. Как и любая другая атака на API, такая атака не является громкой и часто бывает тонкой. Например, может показаться, что код ответа в порядке и все работает нормально, но при этом может произойти утечка базы данных клиентов. Проблема для организаций заключается в том, что они должны защищаться как от новых сложных автоматизированных атак, так и от неискушенных атак, которые не собираются уходить в прошлое.
Что нужно знать об утечке данных API, нацеленной на персональную информацию
Еще одним элементом безопасности API является область конфиденциальных данных. Персональная информация постоянно перемещается через API и уязвима для кражи или утечки. Организации не часто обращают внимание на уязвимости. Однако ситуация резко меняется, когда они видят ущерб, нанесенный их организации в результате утечки персданных, кражи финансов или нанесения ущерба репутации бренда. В 2025 г. утечка данных станет одним из важнейших сценариев нарушений безопасности API. В отчете Wallarm «Q3 2024 API ThreatStats Report» отмечается, что тенденция роста уязвимостей в API для ИИ сохраняется, поскольку ИИ неразрывно связан с API, что создает риск для этой бурно развивающейся технологии.
К сожалению, внутренние команды не могут получить полную картину только путем мониторинга сети. Задачи безопасности не всегда имеют четких владельцев. На уровне организации по-прежнему сложно определить, кто отвечает за безопасность API. Команды безопасности хорошо знают сетевые системы и инфраструктуру, но не понимают поведения приложений. Команда DevOps, как правило, владеет приложениями, но не видит их в производстве. Такая разобщенность в большинстве организаций делает API пригодными для атак. Многие случаи утечки данных происходят на этой «ничейной земле», поскольку большинство взломов выполняется аутентифицированными пользователями.
В 2024 г. были зафиксированы случаи утечки данных через API, целью которых было похищение персональных данных. В случае взлома данных Dell пользователь был аутентифицирован. Согласно отчетам, субъект угрозы собирал информацию для целей эксфильтрации данных и похитил 49 млн. записей клиентов, используя API партнерского портала, к которому он получил доступ как подставная компания. Получить доступ и украсть данные он смог после того, как обнаружил портал для партнеров, реселлеров и розничных продавцов, который можно было использовать для поиска информации о заказах.
В другом случае утечки данных через API киберзлоумышленники атаковали Trello, платформу для управления проектами и совместной работы. Администратор «доски» (рабочего пространства) Trello, предназначенной для совместной работы, приглашает других людей по электронной почте принять участие в этих публичных досках, а REST API обеспечивает эту функцию приглашения. Злоумышленник манипулировал этим API в рамках атаки на предполагаемую функциональность приложения (business logic attack, BLA); если кто-то запрашивал API, используя адрес электронной почты, он возвращал публичные профили всех досок, связанных с этим адресом. Таким образом злоумышленник заполучил данные о 15 млн. профилей Trello.
Предотвращение сложных атак на утечку данных через API
В руководстве Forrester по планированию бюджета в области безопасности и рисков на 2025 г. безопасность API рассматривается как одна из трех основных областей бизнес-операций, а CISO рекомендуется инвестировать в эту область. По мере того как мы все дальше продвигаемся в эпоху кибератак, управляемых ИИ и автоматизацией, команды безопасности должны продолжать придерживаться всеобъемлющей стратегии безопасности, в которой особое внимание уделяется мониторингу брандмауэров, шлюзов и отдельных запросов, но в то же время развивать направление обнаружения утечек данных через API. Это включает в себя мониторинг токенов персональных данных (PII) и объема их использования в разные периоды времени. Пользователь, у которого количество токенов PII исчисляется миллионами, должен быть отмечен тревожным сигналом. Поскольку киберзлоумышленники продолжают использовать уязвимые API для получения финансовой выгоды, ИТ-отделы и службы безопасности должны разбираться в том, что делает API уникальными и как они работают, чтобы обеспечить непрерывный мониторинг, обнаружение и реагирование на угрозы.
