Российский разработчик представил продукты класса API Security17.06.2024 11:16

ПО Безопасность

17 Июня 2024 10:0017 Июн 2024 10:00 |
Поделиться

Компания «Вебмониторэкс» разработала новые продукты для защиты API (Application Programming Interface). Теперь комплексную защиту веб-приложений обеспечивают четыре продукта вендора. Расширение продуктовой линейки компании обеспечили три самостоятельных продукта, выпущенные дополнение к уже известному WAF (Web Application Firewall).

«ПроAPI Структура» с компонентом «Обнаружение утечек API», «ПроAPI Защита» и «ПроAPI Тестирование» созданы для реализации API First подхода при создании веб-приложений. Сегодня это актуальное направление приоритезации продуктовой разработки набирает обороты и масштабируется во всех отраслях экономики. Это обусловлено возросшим числом атак на веб-приложения российских компаний. API, как их составная часть, также подвергаются массированным атакам. Своевременное обнаружение уязвимостей и ошибок в API дает преимущество отечественным компаниям перед действиями кибер злоумышленника. Поэтому стоит подробнее рассмотреть новые российские продукты класса API Security.

«ПроAPI Структура»

Продукт «ПроAPI Структура» ранее поставлялся как модуль в составе платформы «Вебмониторэкс», теперь его можно пропилотировать и внедрить отдельно. Этот продукт обеспечит наблюдаемость всех API, имеющихся в инфраструктуре и их отображение в виде OpenAPI спецификации на основании анализа трафика на эндпоинты.

С помощью этого продукта можно:

  • Определить публичные и внутренние API
  • Узнать про API, через которые передаётся чувствительная информация, например, персональные данные
  • Отфильтровать атакуемые эндпойнты
  • Отследить изменения в структуре API в любое время
  • Получить исчерпывающий список вредоносных запросов, направленных на конкретный эндпойнт
  • Сформировать структуру в формате OpenAPI v3 и скачать ее
  • Настроить правила межсетевого экрана — продукта «ПроAPI Защита»
  • Загрузить файл спецификации OAS и сравнить данные в нем с фактически трафиком
  • Выявлять теневые (shadow) API, неиспользуемые (orphan) API и призрачные (zombie) API

Подробнее о продукте «ПроAPI Структура» можно прочитать в документации.

Компонент «Обнаружение утечек API» в автоматизированном режиме ищет и блокирует запросы с использованием утекших токенов/секретов. Инструмент помогает в реализации процесса отзыва и аннуляции ключей в случае их утери или компрометации. Продукт «ПроAPI Обнаружение утечек» берет на себя выявление и блокировку запросов, содержащих утекший токен. При необходимости IP-адрес, с которого используется утекший токен, можно передать в SIEM систему или добавить в черный список, чтобы заблокировать ему доступ к веб-приложению.

С помощью этого компонента можно:

  • Анализировать запросы на предмет утечек токенов/секретов API
  • Предотвращать атаки, блокировать запросы, содержащие утекшие токены/секреты
  • Использовать совместно со средствами мониторинга утечек и предотвращать использования утекших токенов/секретов
  • Автоматизировать блокировки утекших токенов/секретов по средствам взаимодействия с API

Продукт «ПроAPI Защита»

Продукт «ПроAPI Защита» усиливает защиту API за счет использования позитивной модели безопасности. В рамках нее можно выполнять только входящие и исходящие вызовы, соответствующие предопределенной спецификации API, отклоняя при этом все, что не описано в OAS.

С помощью этого продукта можно:

  • Усилить защиту REST API путем проверки запросов на соответствие заявленной спецификации OpenAPI 3.0
  • Предотвратить утечку чувствительных данных через проверку ответов приложения на соответствие заявленной спецификации
  • Провалидировать JWT-токены в OAuth 2.0 аутентификации
  • Обнаружить Shadow API через логирование запросов ко всем конечным точкам API, которых нет в спецификации, в случае если приложение отвечает 2xx или 5xx кодом
  • Предоставлять информацию о состоянии приложений в балансировщики

Дополнительные характеристики:

  • Поддерживает GraphQL
  • Поставляется в виде Docker контейнера
  • Поддерживает OpenAPI 3.0
  • Поддерживает TLS
  • Не нагружает инфраструктуру
  • Файл со спецификацией монтируется средствами docker или загружается по URL

Продукт «ПроAPI Тестирование»

Продукт «ПроAPI Тестирование» выявляет различные виды ошибок и уязвимостей, включая самые сложные, такие как 0-day. Продукт самостоятельно разбирает OpenAPI 3.0 спецификации и на его основе строит тесты защищенности роутов и их параметров. Для каждого эндпоинта и передаваемых внутри его параметров динамически составляет набор тестов на безопасность, включающий различные типы payload, начиная от SQL-инъекций и заканчивая SSRF.

С помощью этого продукта можно:

  • Проверять OpenAPI 3.0 спецификации на наличие уязвимостей на основе списка угроз из OWASP Top 10 и OWASP API Top 10
  • Проверять каждый эндпоинт и параметр из спецификации
  • Проводить тестирования на основе готовой спецификации
  • Обнаруживать 0-day уязвимости
  • Интегироваться в процесс CI/CD или тестирования на стейджинге
  • Использовать продукт в закрытом контуре, без доступа в интернет
  • Гибко настраивать параметры тестирования и преднастоенные профили
  • Увеличивать покрытие и количество сценариев тестирования за счет применения фаззинга параметров и эндпоинтов
  • Писать свои сценарии тестирования

Все продукты класса API Security от компании «Вебмониторэкс», включая ПроWAF, можно интегрировать между собой, собирая оптимальный набор инструментов для формирования комплексной защиты веб-приложений и API.

Получить подробную информацию о пилотировании продуктов компании «Вебмониторэкс» можно на сайте.

erid: LjN8KSHQoРекламодатель: ООО «ВЕБМОНИТОРЭКС»ИНН/ОГРН: 7735194651/1227700238545Сайт: https://webmonitorx.ru/

Полный текст статьи читайте на CNews