База знаний

Список статей
Наверх

Модуль защиты API

Описание услуги

API (Application Programming Interface) ― это интерфейс, который содержит набор протоколов, подпрограмм и инструментов для обращения одной программы к другой. API позволяет разработчикам использовать готовые блоки для создания приложений. Например, если вы описали API интернет-магазина и сделали мобильное приложение, клиент со смартфоном будет получать информацию в свое устройство через публичный API вашего магазина. В таком случае мы говорим о том, что API «смотрит во внешний мир».

Публичные API могут стать предметом медленных (не явных) атак, которые пропускаются средствами WAF и защиты от DDoS. Чаще всего атаки API направлены на уязвимости баз данных и логики приложения.

Чтобы организовать атаку, злоумышленник сначала изучает поведение API сервиса. Затем подбирает специфичные запросы к API, которые ведут к слабым местам в коде системы. Как результат, злоумышленник получает возможность управлять сервисами компании: сделать заказ от лица клиента, получить информацию из базы данных или изменить ее, обойти двухфакторную аутентификацию и т. д.

Сразу заметить такие атаки сложно, потому что они выглядят как обычные запросы к API. Атакующий получает достаточное количество времени для манипуляции с данными, что влечет за собой возможные финансовые и репутационные потери.

«Модуль защиты API» от компании Salt проводит мониторинг всех данных и действий, которые проходят через API бизнеса.

Запатентованная технология использует искусственный интеллект, чтобы изучить поведение API, и идентифицирует запросы злоумышленников в режиме реального времени.

Система также анализирует API бизнеса и предоставляет конкретные рекомендации, как исправить слабые места API за минимальное время.

Основа работы системы ― тест на проникновение (penetration test). В случае классического теста специалист-тестировщик организует псевдоатаку на сервисы, чтобы выявить уязвимые места системы. Периодически приходится заказывать единичные тесты в специализированных компаниях. Решение Salt ― это непрерывный автоматизированный тест на проникновение, избавленный от влияния человеческого фактора. Стоимость такого решения существенно ниже периодических единичных тестов.

Модуль защиты API Salt соответствует общему регламенту по защите данных GDPR (General Data Protection Regulation). Система автоматически помечает персональные данные (PII ― Personal Identifying Information), которые проходят через API бизнеса.

Тарификация

Тарифицируется количество запросов к API веб-ресурса:

  • базовый тариф до 50 млн запросов в месяц,
  • превышение оплачивается за 1 млн запросов.

Примечание: контракт на услугу заключается минимум на год, при этом возможны варианты как с ежемесячной оплатой, так и с предоплатой на год.

Подключение услуги

Оформите заявку на странице услуги. С вами свяжется специалист Selectel и проконсультирует по всем вопросам.

Для подключения услуги нужно предоставить следующие данные:

  • название компании,
  • контактный адрес электронной почты и номер телефона,
  • примерное количество запросов к API.

На контактный адрес электронной почты поступит письмо с инструкциями по авторизации в личном кабинете Salt.

Чтобы оплатить услугу, выполните в панели управления Selectel следующие действия:

  1. Перейдите в раздел Сети и услуги.
  2. В подразделе Защита от DDoS нажмите кнопку Заказать услуги.
  3. Выберите услугу Предотвращение атак на API и нажмите Оплатить.

Примечание: на Основной баланс должны быть переведены деньги в размере, достаточном для оплаты как минимум одного месяца.

После подтверждения оплаты придет тикет с оповещением о подключении. Услуга появится в списке активных услуг в разделе Сети и услуги.

Подключение услуги занимает 2-3 рабочих дня.

Использование услуги

Управление услугой происходит через личный кабинет Salt. Для доступа в личный кабинет следуйте инструкциям, полученным на контактный адрес электронной почты.

Работа системы сводится к трем этапам:

Discover ― автоматическое обнаружение всех известных и неизвестных API бизнеса

Вкладка Discovered APIs личного кабинета содержит список обнаруженных API. По каждому из них система определяет число конечных точек (endpoints) и помечает наличие персональных данных.

Для конечных точек доступна информация об URL, HTTP-методе, используемом в обращении, и типе данных в JSON-объекте метода.

Detect ― изучение аномалий в поведении API и выявление атак

Чтобы найти отклонения в поведении API, система Salt анализирует собранные данные: нестандартные ответы, время обработки запроса, величину запроса, вернувшийся HTTP-код и т. д.

Вкладка API Attacks личного кабинета содержит список обнаруженных аномалий.

Система строит картину атаки и ее историю, привязывает атаку к источнику (Session ID, HTTP, Cookies и т. д.). Эти данные выводятся в столбцах Source ID и Source Type.

Каждой атаке выставляется свой приоритет -- столбец Status. К атакам с высоким приоритетом система рекомендует применить действие, более низкий приоритет продолжает отслеживаться. Вы также можете настроить автоматическое выполнение указанных действий в ответ на атаки.

Имеется возможность открыть атаку и посмотреть, как она происходила и насколько далеко зашел злоумышленник.

Remediate ― предложения по улучшению вашей системы

Список уязвимых точек системы находится во вкладке Remediation личного кабинета.