(function(m,e,t,r,i,k,a){m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)}; m[i].l=1*new Date(); for (var j = 0; j < document.scripts.length; j++) {if (document.scripts[j].src === r) { return; }} k=e.createElement(t),a=e.getElementsByTagName(t)[0],k.async=1,k.src=r,a.parentNode.insertBefore(k,a)}) (window, document, "script", "https://mc.yandex.ru/metrika/tag.js", "ym"); ym(93790508, "init", { defer: true, clickmap:true, trackLinks:true, accurateTrackBounce:true }); ym(93790508, 'hit', window.location.href);
Сервисы
Selectel

Selectel выводит на российский рынок Salt Security ― калифорнийскую платформу для защиты API от неявных атак

Защищать будет искусственный интеллект.

Эксперты относят атаки на программные интерфейсы приложений (API) к наиболее серьезным угрозам для корпоративных информационных систем. Такие атаки пропускаются средствами WAF и защиты от DDoS.

Salt Security, основанная в 2016 году, разработала и первая в мире запатентовала решение для защиты API мобильных, веб- и IoT-приложений, SaaS и микросервисов. В отличие от традиционных инструментов, оно защищает от современных атак, использующих индивидуальные уязвимости в логике отдельных API бизнеса. С 2019 года Selectel предлагает решения Salt Security своим клиентам для защиты от неявных атак на API.

Разберем подробнее, о каких атаках идет речь, как защищались «по старинке» и как можно по-новому.

Что за API, что за атаки

API (Application Programming Interface) ― это набор протоколов и инструментов для обращения одной программы к другой. Например, если вы описали API интернет-магазина, клиент со смартфоном будет получать информацию в свое устройство через публичный API вашего магазина. Тогда мы говорим о том, что API «смотрит во внешний мир».

Как работают современные веб-приложения, Salt Security

Чаще всего атаки API направлены на уязвимости баз данных и логики в коде конкретного приложения.

Сперва взломщик методично изучает API вашего бизнеса. Затем подбирает специфичные запросы к API, которые ведут к слабым местам в коде системы. Атака растягивается не на одну неделю и выглядит как обычное общение клиентов с API ― таким образом, ее сложно заметить.

Взломщик получает достаточное количество времени для манипуляций с сервисами компании. Например, он может сделать заказ от лица клиента, получить или изменить информацию из базы данных, обойти двухфакторную аутентификацию. А иногда взломщик вообще получает полный контроль над IT-инфраструктурой жертвы.

В 2017 году злоумышленники воспользовались багом в API Instagram. Они смогли узнать номера телефонов и e-mail адреса пользователей, а затем разместили эти данные в публичном доступе.

Аналитики Gartner считают, что к 2022 году API будут основными мишенями киберпреступников.

Как защищались «по старинке»

Классическое решение проблемы ― заказать тест на проникновение (penetration test). Специалист-тестировщик организует псевдоатаку на ваши сервисы, чтобы выявить уязвимые места. Затем даст рекомендации по их устранению.

Такие тесты нужно заказывать в специализированных компаниях периодически. Проверили сервисы один раз, уязвимые места нашли, потом что-то поменяли в API и тест понадобится снова.

Заказ разового пентеста может стоить от 700 тысяч рублей за один тест.

Защита с помощью искусственного интеллекта

По сути, решение Salt ― это непрерывный автоматизированный тест на проникновение с участием искусственного интеллекта. Разворачивается самостоятельно за считанные минуты и управляется через личный кабинет Salt.

В отличие от разового теста, непрерывный тест оплачивается помесячно или с предоплатой на год и стоит от 130 тысяч рублей в месяц. При этом API бизнеса находится под защитой непрерывно каждую минуту в течение всего оплаченного периода.

Работа искусственного интеллекта внутри сервиса Salt сводится к трем этапам:

  1. Discover ― автоматическое обнаружение всех известных и неизвестных API бизнеса.
  2. Detect ― изучение аномалий в поведении API, выявление атак и устранение уязвимостей.
  3. Remediate ― предложения по улучшению вашей системы.

А если API уже кто-то пытается взломать, то сервис использует взломщиков как тестировщиков и предоставляет пользователям сведения об уязвимостях, найденных в ходе атаки. Хитро?

Так выглядит личный кабинет Salt

Еще из хорошего:

  • сервис соответствует регламенту по защите данных GDPR и автоматически помечает персональные данные, которые проходят через API бизнеса;
  • сервис выдает регулярные отчеты о том, как исправить слабые места в вашем коде.

Среди клиентов Salt Security ― компании Ford и Gett.

Продукт Salt Security на российском рынке

По данным «Лаборатории Касперского» Россия входит в четверку стран-лидеров по числу DDoS-атак. Разные IT-инфраструктурные компании предлагают средства защиты от DDoS и инструменты WAF. Например, клиентам Selectel доступны услуги по базовой и расширенной защите приложений от DDoS, средства WAF, решения компаний Qrator и Incapsula. А вот аналогов сервиса Salt на российском рынке еще не было.

С 2019 года Selectel стал партнером Salt Security и предлагает своим клиентам решения для защиты от неявных атак на API.

Если вам интересно узнать больше про защиту API и попробовать новый для российского рынка сервис, оформите заявку на тестирование на странице услуги или посмотрите документацию в базе знаний.

#selectel

0 показов
622 открытия
0
Комментарии
Написать комментарий...
-3 комментариев
Раскрывать всегда