Лев Палей, «Вебмониторэкс»: Затраты на сопровождение API могут достигать 20-30% всего ИТ-бюджета

От каких угроз чаще страдают владельцы веб-приложений? Как оценить возможный ущерб от атак на API? Мнением с читателями Cyber Media поделился Лев Палей, директор по информационной безопасности «Вебмониторэкс».

Cyber Media: С какими атаками на веб-приложения, микросервисы и API сегодня в России чаще имеют дело? Изменится ли список в ближайшем будущем?

Лев Палей: Атаки на веб-приложения, микросервисы и API вряд ли трансформируются во что-то реально другое. Пока будут появляться новые уязвимости во фронте и бэкенде, их будут эксплуатировать.

Актуальными останутся атаки типа IDOR. При их проведении злоумышленники могут изменять идентификаторы объектов. Практически это означает, что они получают полный доступ к API. Например, в банковском приложении таким образом можно вытащить платежную информацию или персональные данные клиентов.

В любом случае злоумышленникам будут, как и сейчас, интересны XSS и CSRF. Поиск и использование таких уязвимостей – пока популярная история. Также вряд ли уйдут в прошлое SQL-инъекции и другие классические виды атак.

Хотя на фоне всех рисков, на мой взгляд, более показательна история с IDOR. Только такая атака дает злоумышленнику быстрый результат.

Cyber Media: Как риски и уязвимости API связаны с защитой микросервисов?

Лев Палей: Дело в том, что почти все приложения строятся и перерабатываются с использованием микросервисов. Их главная особенность заключается в том, что они общаются между собой по API. В итоге получается, что большой трафик проходит через API как снаружи – с пользователями и другими компаниями, так и внутри инфраструктуры организации.

Cyber Media: Какие виды атак уходят в прошлое?

Лев Палей: Скорее только те, которые нацелены на устаревающие технологии. Например, когда SOAP перестанут использовать совсем, тогда и атаки на него станут менее популярными.

Cyber Media: Каким может быть ущерб от атак на веб-приложения и API сегодня?

Лев Палей: Информацию о том, из-за какой именно атаки произошла утечка или перестало работать приложение, компании раскрывают очень редко. Хотя есть один важный момент.

API – это ключевая функциональность для множества приложений. Мобильные клиенты, через которые пользователи взаимодействуют с банком, в их числе. В том же списке личные кабинеты покупателей в онлайн-ритейле. Все они взаимодействуют через API.

Более того, мы видим данные пользователей, которые утекают в сеть. Почти всегда это классический набор полей, который доступен для партнеров или авторизованных клиентов при коммуникации с приложением через API.

Какие могут быть риски для компании-владельца приложений? Во-первых, через ту же XXS- или SQL-уязвимость можно получить доступ к отдельному компоненту внутренней инфраструктуры компании. Либо ко всей инфраструктуре, если нет разграничений на сетевом уровне между объектами.

Злоумышленник может добыть персональные данные пользователей парсингом. Сделать это через API – вполне простая задача. Если у вас есть гостевой аккаунт и вы можете авторизоваться в приложении, то у вас есть какой-то токен для авторизации в API. Если в компании нет анализа запросов, то миссия становится выполнимой. Вы можете получить доступ к данным, которые находятся на бэкенде приложения. Фактически это означает, что на руках окажутся вообще все данные о пользователях. Может быть, они будут в неструктурированном виде, но привести их в читаемый формат – не проблема.

Второй риск – недоступность ресурса. Часто она происходит из-за перегрузки базы данных. Бывает, что API неверно сконфигурированы, а точнее – в одном запросе доступными для вызова оказываются много параметров одновременно. В этом случае перегрузить приложение можно даже с помощью легитимных запросов. И если нет возможности быстро отключить использование API, то перегрузка может стать циклической. Веб-приложение перестанет работать, а в некоторых случаях – на 24 часа, пока проблема не будет выяснена.

Тут мы как раз можем помочь, модуль платформы Вебмониторекс “Структура API” и компонент “Защита API” позволяют структурировать информацию об API и обеспечить валидацию запросов к ендпоинтам внутри.

Cyber Media: Какие публично известные атаки демонстрируют, насколько важно заниматься защитой API и веб-приложений?

Лев Палей: Думаю, наиболее показательной стала серия deface-атак в 2022 году. Они принесли как минимум репутационный ущерб компаниям – показали их отсутствие внимания к собственным приложениям. Но это с одной стороны. С другой – для некоторых компаний deface-атаки стали следствием использования фреймов других приложений, которые были плохо защищены. И это тоже хороший урок.

В 2023 году таких громких атак было меньше. Единственное, что можно выделить, – особое внимание к продукции компании «1С». Скорее всего оно связано с общей тенденцией – с 2022 года в принципе стали больше разбирать уязвимости веб-приложений, которые доступны в публичном поле.

Cyber Media: Каких атак, на ваш взгляд, стоит ожидать в ближайшее время?

Лев Палей: Тех же, что и тревожили нас в 2022 году. Прежде всего это атаки, которые нацелены на платежную информацию и персональные данные. Пока эти сведения в приоритете у злоумышленников и чаще оказываются в прямом доступе в Сети.

Кроме того, сейчас в атаках часто нет прямой связи монетизации и реализации. Большинство проводится хактивистами. При этом атаки стали довольно сложными, во многом из-за использования дополнительных инструментов. В их числе Worm GPT, который позволяет конструировать вредоносы и генерировать нагрузку для дальнейшего взлома веб-приложения. Думаю, что этот тренд сохранится и в будущем.

При всем этом всегда стоит ориентироваться на модель угроз, которая сильно зависит от бизнеса. Судя по тенденции 2022-2023 основной риск пока – это репутационный. Если вас взломают, то вряд ли случится какая-то финансовая кара. Зато общественное порицание и публичное обсуждение инцидента обязательно будут.

Соответственно, стоит ожидать атак на репутацию, а значит на веб-приложения в первую очередь. Все-таки именно они находятся на виду, и недоступность либо парсинг какой-то информации с них – это тоже вполне логичная мотивация для злоумышленника.

Если рассматривать ситуацию с публичными компаниями, для которых приложение является важнейшим инструментом привлечения клиентов, то здесь возможны менее очевидные вектора атак.

Например, хакеры могут взяться за высоконагруженные ресурсы. Их не так много, да и создавались они недавно. Протоколы для построения таких приложений у нас пока слабо распространены. Компании, которые используют высоконагруженные ресурсы, можно по пальцам пересчитать (Яндекс, ВК, Авито и т.д.).

Так как нет множественной реализации таких протоколов, то и средств защиты для работы с ними пока немного. И по той же причине пока нельзя сказать, что у каждого приложения с таким довольно редким протоколом будет СЗИ на борту.

Cyber Media: Как ИБ-специалисту оценить возможный ущерб от атак на API и веб-приложения?

Лев Палей: Если компания относится к ритейлу и в ней оцифрован поток клиентов из приложения, то все считается очень просто. Берем случай остановки процесса и смотрим, сколько компания недополучит денег из-за него. Плюс считаем простой специалистов, которые задействованы в процессе.

Далее прибавляем неустойку контрагентам, если они по договору должны были что-то получить из веб-приложения и не смогли этого сделать. И наконец, считаем штраф регулятора.

Cyber Media: Какие меры нужно предпринять компаниям уже сейчас, чтобы защититься от атак на веб-приложения, микросервисы и API в ближайшие годы?

Лев Палей: Здесь ответ простой, хотя с точки зрения реализации он сложный.

Сейчас по миру активно распространяется концепция Infrastructure as code. Это значит, что мы перестаем делать сети как некую монолитную сущность. Подстраиваем инфраструктуру под те функции, которые нужно автоматизировать. Вот почему появилась технология микросервисов, благодаря которой можно разделить приложения по функциям. И те же функции постоянно совершенствовать.

Технология приводит к тому, что инфраструктуру заполняют собой различные связи между участками приложений. При этом часто связи между микросервисами никак не анализируются и не разбираются.

Главное – это, конечно, наблюдать трафик API, понимать, как он работает на практике – с чем связывается, куда идет, из чего состоит и т.д. С этой информацией нужно выходить на команду разработки, которая планирует и реализует функциональность микросервисов. Им необходимо знать, какие методы или функции использовать не очень безопасно. Даже больше – сегодня нужно в целом больше работать с концепцией безопасной разработки.

Cyber Media: Какая доля ИБ-инвестиций в компаниях в среднем приходится на API?

Лев Палей: Ответ зависит от множества факторов. Первый и главный – как в целом выстроена инфраструктура в компании. Если она типизирована и разворачивание нового микросервиса идет по четким рельсам, то доля бюджета на защиту и в целом на API будет небольшой.

Другой случай – если компания работает с большим объемом внешней разработки, в инфраструктуру приходят разные технологии, стеки и команды с разной культурой и т.д. Здесь, по нашим оценкам, затраты на сопровождение API могут достигать 20-30% от всего ИТ-бюджета. Причем они включают не только специализированные решения, но и расходы на команду.

В целом у каждой компании своя история разработки и своя инфраструктура. Вот почему решения подбираются каждый раз индивидуально. Для кого-то нужны специализированные средства защиты, а для других бывает достаточно минимальных изменений типа новых проверок внутри платформы CI/DC.