Всем привет!
Сегодня я расскажу о нашем новом продукте «Структура API» и актуальных изменениях в нем. Данный продукт решает одну из важнейших задач в управлении API – это получение актуальной и полной структуры API на основании реального трафика. Результат представляется в привычном swagger виде. На рисунке 1 представлен общий вид пользовательского интерфейса.
Построение структуры API происходит на основании статистики запросов на эндпойнты. Редкие или одиночные запросы определяются как шум и не учитываются в структуре API. Благодаря построенной структуре, возможно:
определить публичные и внутренние API;
понять через какие API передаётся чувствительная информация, например персональные данные;
отфильтровать эндпойнты подвергающиеся атаке;
отслеживать изменения в структуре API за выбранный промежуток времени;
получить полный список вредоносных запросов, направленных на конкретный эндпойнт;
скачать построенную структуру в формате OpenAPI v3;
настраивать правила межсетевого экрана в еще одном продукте линейки компании Вебмониторэкс.
Более подробно о продукте «Структура API» и его возможностях можно узнать из нашей документации.
Мы постоянно развиваем наш продукт для того, чтобы сделать его ещё более удобным и полезным для наших клиентов, в рамках данного процесса, в «Структуру API» была добавлена возможность сравнения OpenAPI спецификаций (OAS). Она позволяет подгружать новую спецификацию и сравнивать её с уже существующей. Благодаря этому появляется возможность выявлять среди имеющихся API:
теневые (shadow) API;
неиспользуемые (orphan) API;
призрачный (zombie) API.
Что же такое призрачные, неиспользуемые и теневые API? Обо всём по порядку. Начнём с теневых (shadow) API.
Теневой (shadow) API – это скрытый, недокументированный API, который не был описан в OAS, но на него есть трафик. Определяем мы его следующим образом, с помощью «Структуры API» выявляем все роуты на основе трафика. После этого, подгружаем спецификацию и сравниваем её с построенной схемой эндпойнтов. Если трафик на роут есть, а его самого в спецификации нет, то это и есть shadow API. Подобные недокументированные API опасны тем, что могу выпасть из поля зрения подразделения ИБ и на них не будут распространены политики безопасности.
Если в загруженной спецификации роут есть, а трафика на него «Структура API» не фиксирует, то это – неиспользуемый (orphan) API. Наличие подобных эндпойнтов в спецификации может затруднять мониторинг всей инфраструктры.
Наконец, если API был описан в спецификации, затем удалён из неё, но при этом «Структура API» продолжает фиксировать трафик на него, значить был определён призрачный (zombie) API, т.е. эндпойнт который считается удалённым, но фактически он не отключен и продолжает получать трафик. Такие API являются слабым местом инфраструктуры, т.к. при отсутствии регулярных обновлений, они становятся уязвимым объектом атаки. Более подробно о функции сравнения спецификаций можно узнать из нашей документации.
С точки зрения внутренних процессов компании, «Структура API» — это инструмент, который обеспечивает наблюдаемость ваших API. Это будет полезно как для команды ИБ, так и для команды разработки. А благодаря новым функциям, можно удобно и просто сравнить спецификацию, генерируемую на этапе разработки API с тем, что вы видите в трафике. Это позволяет выделить те параметры и роуты, которые нужно ограничить. Например, это можно сделать с использованием функциональности виртуального патча, которая есть в межсетевом экране от Вебмониторэкс, или же сразу передать в команду разработки для корректировки.
Подробно раскроем тему значимости обеспечения безопасности API в современных условиях на вебинаре 17 апреля в 12:00 (мск). На нем расскажем об изменении ландшафта угроз и отражении этих изменений в OWASP API Security. Подробно рассмотрим обеспечение безопасности веб-приложений в наиболее атакуемых отраслях (телекоммуникационные компании и интернет платформы). Покажем, как платформа «Вебмониторэкс» решает задачи по защите веб-приложений и API. Регистрируйтесь по ссылке.
API FIRST ближе, чем вы думаете!