Selectel выводит на российский рынок Salt Security ― калифорнийскую платформу для защиты API от неявных атак
Защищать будет искусственный интеллект.
Эксперты относят атаки на программные интерфейсы приложений (API) к наиболее серьезным угрозам для корпоративных информационных систем. Такие атаки пропускаются средствами WAF и защиты от DDoS.
Salt Security, основанная в 2016 году, разработала и первая в мире запатентовала решение для защиты API мобильных, веб- и IoT-приложений, SaaS и микросервисов. В отличие от традиционных инструментов, оно защищает от современных атак, использующих индивидуальные уязвимости в логике отдельных API бизнеса. С 2019 года Selectel предлагает решения Salt Security своим клиентам для защиты от неявных атак на API.
Разберем подробнее, о каких атаках идет речь, как защищались «по старинке» и как можно по-новому.
Что за API, что за атаки
API (Application Programming Interface) ― это набор протоколов и инструментов для обращения одной программы к другой. Например, если вы описали API интернет-магазина, клиент со смартфоном будет получать информацию в свое устройство через публичный API вашего магазина. Тогда мы говорим о том, что API «смотрит во внешний мир».
Чаще всего атаки API направлены на уязвимости баз данных и логики в коде конкретного приложения.
Сперва взломщик методично изучает API вашего бизнеса. Затем подбирает специфичные запросы к API, которые ведут к слабым местам в коде системы. Атака растягивается не на одну неделю и выглядит как обычное общение клиентов с API ― таким образом, ее сложно заметить.
Взломщик получает достаточное количество времени для манипуляций с сервисами компании. Например, он может сделать заказ от лица клиента, получить или изменить информацию из базы данных, обойти двухфакторную аутентификацию. А иногда взломщик вообще получает полный контроль над IT-инфраструктурой жертвы.
В 2017 году злоумышленники воспользовались багом в API Instagram. Они смогли узнать номера телефонов и e-mail адреса пользователей, а затем разместили эти данные в публичном доступе.
Аналитики Gartner считают, что к 2022 году API будут основными мишенями киберпреступников.
Как защищались «по старинке»
Классическое решение проблемы ― заказать тест на проникновение (penetration test). Специалист-тестировщик организует псевдоатаку на ваши сервисы, чтобы выявить уязвимые места. Затем даст рекомендации по их устранению.
Такие тесты нужно заказывать в специализированных компаниях периодически. Проверили сервисы один раз, уязвимые места нашли, потом что-то поменяли в API и тест понадобится снова.
Заказ разового пентеста может стоить от 700 тысяч рублей за один тест.
Защита с помощью искусственного интеллекта
По сути, решение Salt ― это непрерывный автоматизированный тест на проникновение с участием искусственного интеллекта. Разворачивается самостоятельно за считанные минуты и управляется через личный кабинет Salt.
В отличие от разового теста, непрерывный тест оплачивается помесячно или с предоплатой на год и стоит от 130 тысяч рублей в месяц. При этом API бизнеса находится под защитой непрерывно каждую минуту в течение всего оплаченного периода.
Работа искусственного интеллекта внутри сервиса Salt сводится к трем этапам:
- Discover ― автоматическое обнаружение всех известных и неизвестных API бизнеса.
- Detect ― изучение аномалий в поведении API, выявление атак и устранение уязвимостей.
- Remediate ― предложения по улучшению вашей системы.
А если API уже кто-то пытается взломать, то сервис использует взломщиков как тестировщиков и предоставляет пользователям сведения об уязвимостях, найденных в ходе атаки. Хитро?
Еще из хорошего:
- сервис соответствует регламенту по защите данных GDPR и автоматически помечает персональные данные, которые проходят через API бизнеса;
- сервис выдает регулярные отчеты о том, как исправить слабые места в вашем коде.
Среди клиентов Salt Security ― компании Ford и Gett.
Продукт Salt Security на российском рынке
По данным «Лаборатории Касперского» Россия входит в четверку стран-лидеров по числу DDoS-атак. Разные IT-инфраструктурные компании предлагают средства защиты от DDoS и инструменты WAF. Например, клиентам Selectel доступны услуги по базовой и расширенной защите приложений от DDoS, средства WAF, решения компаний Qrator и Incapsula. А вот аналогов сервиса Salt на российском рынке еще не было.
С 2019 года Selectel стал партнером Salt Security и предлагает своим клиентам решения для защиты от неявных атак на API.