17 Июня 2024 10:00 17 Июн 2024 10:00 |

Поделиться

Российский разработчик представил продукты класса API Security

«ПроAPI Структура» с компонентом «Обнаружение утечек API», «ПроAPI Защита» и «ПроAPI Тестирование» созданы для реализации API First подхода при создании веб-приложений. Сегодня это актуальное направление приоритезации продуктовой разработки набирает обороты и масштабируется во всех отраслях экономики. Это обусловлено возросшим числом атак на веб-приложения российских компаний. API, как их составная часть, также подвергаются массированным атакам. Своевременное обнаружение уязвимостей и ошибок в API дает преимущество отечественным компаниям перед действиями кибер злоумышленника. Поэтому стоит подробнее рассмотреть новые российские продукты класса API Security.

«ПроAPI Структура»

Продукт «ПроAPI Структура» ранее поставлялся как модуль в составе платформы «Вебмониторэкс», теперь его можно пропилотировать и внедрить отдельно. Этот продукт обеспечит наблюдаемость всех API, имеющихся в инфраструктуре и их отображение в виде OpenAPI спецификации на основании анализа трафика на эндпоинты.

С помощью этого продукта можно:

• Определить публичные и внутренние API
• Узнать про API, через которые передаётся чувствительная информация, например, персональные данные
• Отфильтровать атакуемые эндпойнты
• Отследить изменения в структуре API в любое время
• Получить исчерпывающий список вредоносных запросов, направленных на конкретный эндпойнт
• Сформировать структуру в формате OpenAPI v3 и скачать ее
• Настроить правила межсетевого экрана — продукта «ПроAPI Защита»
• Загрузить файл спецификации OAS и сравнить данные в нем с фактически трафиком
• Выявлять теневые (shadow) API, неиспользуемые (orphan) API и призрачные (zombie) API

Подробнее о продукте «ПроAPI Структура» можно прочитать в документации.

Компонент «Обнаружение утечек API» в автоматизированном режиме ищет и блокирует запросы с использованием утекших токенов/секретов. Инструмент помогает в реализации процесса отзыва и аннуляции ключей в случае их утери или компрометации. Продукт «ПроAPI Обнаружение утечек» берет на себя выявление и блокировку запросов, содержащих утекший токен. При необходимости IP-адрес, с которого используется утекший токен, можно передать в SIEM систему или добавить в черный список, чтобы заблокировать ему доступ к веб-приложению.

С помощью этого компонента можно:

• Анализировать запросы на предмет утечек токенов/секретов API
• Предотвращать атаки, блокировать запросы, содержащие утекшие токены/секреты
• Использовать совместно со средствами мониторинга утечек и предотвращать использования утекших токенов/секретов
• Автоматизировать блокировки утекших токенов/секретов по средствам взаимодействия с API

Продукт «ПроAPI Защита»

Продукт «ПроAPI Защита» усиливает защиту API за счет использования позитивной модели безопасности. В рамках нее можно выполнять только входящие и исходящие вызовы, соответствующие предопределенной спецификации API, отклоняя при этом все, что не описано в OAS.

С помощью этого продукта можно:

• Усилить защиту REST API путем проверки запросов на соответствие заявленной спецификации OpenAPI 3.0
• Предотвратить утечку чувствительных данных через проверку ответов приложения на соответствие заявленной спецификации
• Провалидировать JWT-токены в OAuth 2.0 аутентификации
• Обнаружить Shadow API через логирование запросов ко всем конечным точкам API, которых нет в спецификации, в случае если приложение отвечает 2xx или 5xx кодом
• Предоставлять информацию о состоянии приложений в балансировщики

Дополнительные характеристики:

• Поддерживает GraphQL
• Поставляется в виде Docker контейнера
• Поддерживает OpenAPI 3.0
• Поддерживает TLS
• Не нагружает инфраструктуру
• Файл со спецификацией монтируется средствами docker или загружается по URL

Продукт «ПроAPI Тестирование»

Продукт «ПроAPI Тестирование» выявляет различные виды ошибок и уязвимостей, включая самые сложные, такие как 0-day. Продукт самостоятельно разбирает OpenAPI 3.0 спецификации и на его основе строит тесты защищенности роутов и их параметров. Для каждого эндпоинта и передаваемых внутри его параметров динамически составляет набор тестов на безопасность, включающий различные типы payload, начиная от SQL-инъекций и заканчивая SSRF.

С помощью этого продукта можно:

• Проверять OpenAPI 3.0 спецификации на наличие уязвимостей на основе списка угроз из OWASP Top 10 и OWASP API Top 10
• Проверять каждый эндпоинт и параметр из спецификации
• Проводить тестирования на основе готовой спецификации
• Обнаруживать 0-day уязвимости
• Интегироваться в процесс CI/CD или тестирования на стейджинге
• Использовать продукт в закрытом контуре, без доступа в интернет
• Гибко настраивать параметры тестирования и преднастоенные профили
• Увеличивать покрытие и количество сценариев тестирования за счет применения фаззинга параметров и эндпоинтов
• Писать свои сценарии тестирования

Все продукты класса API Security от компании «Вебмониторэкс», включая ПроWAF, можно интегрировать между собой, собирая оптимальный набор инструментов для формирования комплексной защиты веб-приложений и API.

Получить подробную информацию о пилотировании продуктов компании «Вебмониторэкс» можно на сайте.

Поделиться

Подписаться на новости Короткая ссылка