Рубрика развивается при поддержке
Сервисы
Selectel
367

Selectel выводит на российский рынок Salt Security ― калифорнийскую платформу для защиты API от неявных атак

Защищать будет искусственный интеллект.

В закладки

Эксперты относят атаки на программные интерфейсы приложений (API) к наиболее серьезным угрозам для корпоративных информационных систем. Такие атаки пропускаются средствами WAF и защиты от DDoS.

Salt Security, основанная в 2016 году, разработала и первая в мире запатентовала решение для защиты API мобильных, веб- и IoT-приложений, SaaS и микросервисов. В отличие от традиционных инструментов, оно защищает от современных атак, использующих индивидуальные уязвимости в логике отдельных API бизнеса. С 2019 года Selectel предлагает решения Salt Security своим клиентам для защиты от неявных атак на API.

Разберем подробнее, о каких атаках идет речь, как защищались «по старинке» и как можно по-новому.

Что за API, что за атаки

API (Application Programming Interface) ― это набор протоколов и инструментов для обращения одной программы к другой. Например, если вы описали API интернет-магазина, клиент со смартфоном будет получать информацию в свое устройство через публичный API вашего магазина. Тогда мы говорим о том, что API «смотрит во внешний мир».

Как работают современные веб-приложения, Salt Security

Чаще всего атаки API направлены на уязвимости баз данных и логики в коде конкретного приложения.

Сперва взломщик методично изучает API вашего бизнеса. Затем подбирает специфичные запросы к API, которые ведут к слабым местам в коде системы. Атака растягивается не на одну неделю и выглядит как обычное общение клиентов с API ― таким образом, ее сложно заметить.

Взломщик получает достаточное количество времени для манипуляций с сервисами компании. Например, он может сделать заказ от лица клиента, получить или изменить информацию из базы данных, обойти двухфакторную аутентификацию. А иногда взломщик вообще получает полный контроль над IT-инфраструктурой жертвы.

В 2017 году злоумышленники воспользовались багом в API Instagram. Они смогли узнать номера телефонов и e-mail адреса пользователей, а затем разместили эти данные в публичном доступе.

Аналитики Gartner считают, что к 2022 году API будут основными мишенями киберпреступников.

Как защищались «по старинке»

Классическое решение проблемы ― заказать тест на проникновение (penetration test). Специалист-тестировщик организует псевдоатаку на ваши сервисы, чтобы выявить уязвимые места. Затем даст рекомендации по их устранению.

Такие тесты нужно заказывать в специализированных компаниях периодически. Проверили сервисы один раз, уязвимые места нашли, потом что-то поменяли в API и тест понадобится снова.

Заказ разового пентеста может стоить от 700 тысяч рублей за один тест.

Защита с помощью искусственного интеллекта

По сути, решение Salt ― это непрерывный автоматизированный тест на проникновение с участием искусственного интеллекта. Разворачивается самостоятельно за считанные минуты и управляется через личный кабинет Salt.

В отличие от разового теста, непрерывный тест оплачивается помесячно или с предоплатой на год и стоит от 130 тысяч рублей в месяц. При этом API бизнеса находится под защитой непрерывно каждую минуту в течение всего оплаченного периода.

Работа искусственного интеллекта внутри сервиса Salt сводится к трем этапам:

  1. Discover ― автоматическое обнаружение всех известных и неизвестных API бизнеса.
  2. Detect ― изучение аномалий в поведении API, выявление атак и устранение уязвимостей.
  3. Remediate ― предложения по улучшению вашей системы.

А если API уже кто-то пытается взломать, то сервис использует взломщиков как тестировщиков и предоставляет пользователям сведения об уязвимостях, найденных в ходе атаки. Хитро?

Так выглядит личный кабинет Salt

Еще из хорошего:

  • сервис соответствует регламенту по защите данных GDPR и автоматически помечает персональные данные, которые проходят через API бизнеса;
  • сервис выдает регулярные отчеты о том, как исправить слабые места в вашем коде.

Среди клиентов Salt Security ― компании Ford и Gett.

Продукт Salt Security на российском рынке

По данным «Лаборатории Касперского» Россия входит в четверку стран-лидеров по числу DDoS-атак. Разные IT-инфраструктурные компании предлагают средства защиты от DDoS и инструменты WAF. Например, клиентам Selectel доступны услуги по базовой и расширенной защите приложений от DDoS, средства WAF, решения компаний Qrator и Incapsula. А вот аналогов сервиса Salt на российском рынке еще не было.

С 2019 года Selectel стал партнером Salt Security и предлагает своим клиентам решения для защиты от неявных атак на API.

Если вам интересно узнать больше про защиту API и попробовать новый для российского рынка сервис, оформите заявку на тестирование на странице услуги или посмотрите документацию в базе знаний.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Selectel", "author_type": "editor", "tags": [], "comments": 0, "likes": 3, "favorites": 1, "is_advertisement": false, "subsite_label": "services", "id": 80070, "is_wide": false, "is_ugc": false, "date": "Wed, 21 Aug 2019 15:47:41 +0300", "is_special": false }
Облачная платформа
Основа для цифровизации бизнеса
0
{ "id": 80070, "author_id": 172558, "diff_limit": 1000, "urls": {"diff":"\/comments\/80070\/get","add":"\/comments\/80070\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/80070"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 200396, "last_count_and_date": null }
Комментариев нет
Популярные
По порядку
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovx", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "disable": true, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ] { "page_type": "default" }