Современные киберугрозы становятся все более сложными и изощренными, поэтому для стабильной работы организация уже не может обойтись без новейших методов защиты. Долгое время считалось, что для обеспечения безопасности веб-приложений вполне достаточно использования WAF (Web Application Firewall). Однако стремительный рост числа API и увеличивающееся количество угроз заставили пересмотреть этот подход. Многие компании столкнулись с тем, что они зачастую не имеют полного представления, какие ресурсы используются и насколько они уязвимы, вследствие чего у них недостаточно контроля над своими API.

В ответ на эту проблему команда разработчиков Вебмониторэкс создала средство защиты ПроAPI Структура, которое позволяет инвентаризировать все API, узнать их состав и выявить уязвимости. Важным дополнением нашего решения стала новая функциональность, которая позволяет собирать статистику по роутам и использовать её для раннего обнаружения атак и оперативного реагирования на них. Сегодня я представлю это нововведение.

Чтобы глубже понять, как работает наша новая функция, давайте разберем ключевые термины. При работе с API используются понятия эндпоинт и роут. Первое – это само обращение клиента, запускающее конкретное действие приложения. Например, GET, PATCH, DELETE. Роут же представляет собой URL, то есть имя, по которому API запускает работу эндпоинтов. Примером может служить функция авторизации, соответствующая роуту example.com/login.php. При этом, важно помнить, что один роут может запускать несколько эндпоинтов.

Когда мы определились с базовыми терминами, можем перейти к подробному описанию новой функции в продукте ПроAPI Структура – возможности сбора и просмотра статистики по конкретным роутам, для каждого из которых теперь отображается информация об RPS (requests per second) и общему количеству запросов за выбранный период.

Впрочем, обо всём по порядку. На главной странице появилась колонка «Нагрузка» с отображением среднего RPS за последние 7 дней. Выполнив сортировку по возрастанию, можно выявить роуты с максимальным RPS за последнюю неделю.

В разделе «Информация об эндпоинте» добавлен график нагрузки, который помогает визуализировать изменения в количестве запросов. На графике есть возможность выбрать период для более пристального исследования.

В дальнейшем планируем добавить триггер на превышение порогового значения RPS с различными вариантами реакций, которое будет определяться как среднее количество запросов в секунду за выбранный промежуток времени, а превышение этого порога будет задаваться в процентах. Например, можно будет использовать данные за последний месяц, три месяца или год. Это позволит определить нормальное поведение системы и выявить отклонения, которые могут указывать на начало атаки.

После срабатывания триггера пользователь будет оповещён об этом по выбранному каналу связи, например, через Telegram или электронную почту. Оповещения могут быть направлены не только администраторам безопасности, но и другим заинтересованным лицам. Это поможет быстрее реагировать на угрозы и предотвращать возможные последствия.

Новые возможности станут полезным инструментом для мониторинга трафика запросов на роут, определения начала атаки и своевременного оповещения пользователей. Этот подход позволит быстро реагировать на киберугрозы и защищать систему от возможных последствий действий злоумышленников.

Приглашаем вас также подписаться на наш канал для технических специалистов в Telegram. В нем вы сможете узнать все об API Security и Web Security, а также еще немного про уязвимости и технические изыскания команды Вебмониторэкс. Никакой рекламы. Только полезные материалы. 

Комментарии (1)


  1. zeroc0de
    05.12.2024 19:10

    Хотелось почитать про скрытые угрозы, а прочитал про фаззинг, определяемый по логам.:(
    Вряд ли злоумышленник будет нагружать систему запросами и привлекать к себе внимание.