Written by: Gábor Marosvári, Product marketing lead, Balasys
Created: 2021-02-02
A digitális átalakulás korában kiemelt szerepet kap az ügyfelek, a cégek és a partnerek közötti gyors kapcsolattartás és adatcsere.
A digitális átalakulás korában kiemelt szerepet kap az ügyfelek, a cégek és a partnerek közötti gyors kapcsolattartás és adatcsere. Ez a nyilvános API-k (Application Programming Interface-ek) számának robbanásszerű növekedését eredményezi. Az API-k olyan HTTP-alapú alkalmazásintegrációs protokollok amelyek elérhetővé teszik az alkalmazás adatokat a kapcsolódó felek, eszközök és szolgáltatások számára. Manapság az API-k több tízezer webes és felhőszolgáltatást, mobil- és IoT eszközt kötnek össze, és lehetővé teszik a zökkenőmentes gép-gép kommunikációt.
Az API-k már nem csak Facebook üzeneteket közvetítenek többé. Hatalmas mennyiségű érzékeny információ is továbbításra kerül ezeken az interfészeken: személyes azonosítók, pénzügyi és orvosi adatok, üzleti titkok, stb. És ezen adatok száma ugrásszerűen nő. Az API-k tehát közvetlen kiskapuként használhatók a vállalati rendszerekbe való bejutáshoz. Ennek eredményeként az API-infrastruktúrák elterjedése komoly biztonsági kihívásokat jelent. Ebben a posztban az API-kommunikáció biztonságával kapcsolatos legfontosabb szempontokat foglaljuk össze, és felvázolunk egy lehetséges megoldást.
Az API-kon keresztül továbbított bizalmas adatok mennyisége gyors ütemben növekszik, ezáltal az API-k egyre inkább a támadók elsődleges célpontjává válnak. A sebezhető, hibás API-k felkutatásával képesek bejutni a bizalmas adatokat tároló háttérrendszerekbe. Ráadásul ezek a támadások egyre sikeresebbek. A közelmúltban történt nagyobb adatlopások közül sok esetben az API-k sebezhetőségét használták ki – gondoljunk csak a Salesforce.com, a T-Mobile, a Strava és az Egyesült Államok Postaszolgálatának esetére.
Napjainkban az API-támadások egyre összetettebbek, célzottabbak, amelyek könnyedén megkerülik a hagyományos védelmi rendszereket. Sajnos, a klasszikus webalkalmazás tűzfalak (WAF-ok), hitelesítő, tartalomszűrő illetve egyéb, alapszintű biztonsági eszközök NEM KÉPESEK az ilyen támadások észlelésére. A fejlett API-támadások csak célzott megoldásokkal akadályozhatók meg. Azok a vállalatok, amelyek nincsenek ezzel tisztában, hamis biztonságérzet mellett teszik kockára a központi rendszereiken tárolt adatokat.
A biztonság nem prioritás a legtöbb fejlesztési projektben: a fejlesztők a funkcionális specifikációra, a felhasználói élményre és a határidőkre koncentrálnak. Gyakran előfordul, hogy a biztonsági követelmények nincsenek is részletesen specifikálva. A biztonsági csapatoknak alig vagy egyáltalán nincs beleszólásuk az ilyen projektekbe. Ennek következtében a fejlesztők eszközkészlete és munkafolyamatai biztonsági szempontból nincsenek optimalizálva. A fejlesztők nem úgy gondolkodnak, mint a támadók. Mivel API sztenderdek nincsenek, ezért a biztonsággal sokszor csak 'best-effort' jelleggel foglalkoznak. Ez különlegesen sebezhetővé teszi a publikus API-kat, amely az üzletmenet számára kockázatokat, míg a rossz fiúk számára további lehetőségeket teremt.
A PSD2 kötelezi a bankokat, hogy tegyék közvetlenül elérhetővé API-jaikat az online kereskedők és a külső fizetési szolgáltatók (TPP, fintech) számára. A GDPR közvetetten, de előírja a továbbított személyes adatok anonimizációját vagy pszeudo-anonimizációját. A PCI DSS kötelezi a pénzügyi szolgáltatókat, hogy a nyílt hozzáférésű hálózatokon titkosítsák a kártyatulajdonosi információkat, stb., stb... Az összes szabályozásnak egy közös, kulcsfontosságú követelménye van: a vállalatoknak gondoskodniuk kell az ügyféladatok biztonságáról azok tárolása és továbbítása során is. Ahhoz, hogy megfeleljenek ezeknek a feltételeknek, a szabályozott iparágaknak, mint például a pénzügyi, egészségügyi és állami szektornak, gondoskodniuk kell a nyilvános API-jaikon keresztül továbbított ügyféladatok védelméről.
Összegzésként elmondható, hogy számtalan API-alapú alkalmazás sebezhető. Napjainkra az ezeket a biztonsági réseket kihasználó támadások valódi fenyegetést jelentenek. Az API-támadások egyre összetettebbek és célzottabbak, és megkerülik a meglévő védelmi rendszereket. A nyilvános API-infrastruktúrát működtető szervezeteknek át kell értékelniük kockázati és megfelelőségi helyzetüket az API-k szempontjából. És itt nem csak a végfelhasználói vállalatokról van szó, az informatikai fejlesztőknek is gondolniuk kell az API-biztonság mélyebb szintű integrálására a projektjeikben. Az egyedi fejlesztésű alkalmazások biztonsági réseinek csökkentésével a hitelességüket és a jó hírüket is növelhetik.
A Proxedo API Security egy speciális webes alkalmazás-tűzfal (WAF), amelyet az API-végpontok védelmére fejlesztettek ki. Egy rugalmas hálózatbiztonsági célmegoldás, amellyel szabályozhatja alkalmazásai adatforgalmát az API-támadások megelőzése érdekében. A Deep Packet Inspection (DPI) technológiának köszönhetően részletesen ellenőrizheti, titkosíthatja, és elemezheti az API forgalmát, mindezt kiegészítve egy szignatúra adatbázis-alapú védelemmel. Rugalmas architektúrájának köszönhetően vállalata kompromisszumok nélküli, egyedi API-biztonsági házirendet kényszeríthet ki. A Proxedo API Security kifejezetten az API-biztonságra összpontosít, így remekül kiegészíti a hagyományos WAF és API menedzsment eszközöket is.
Ez a blogposzt a Creative Commons Attribution-ShareAlike 4.0 International (CC-BY-SA 4.0) License feltételei mellett licencelődik.