مسدود کردن حملات API: سه نکته که باید در نظر بگیرید

کارشناسان امنیتی از دهه 2020 میلادی به عنوان دهه حملات API یاد می‌کنند. در فوریه 2021 در گزارشی که توسط شرکت Dark Reading منتشر شده بود، بیش از 90 درصد از سازمان‌ها در نظرسنجی صورت گرفته اعلام کرده بودند که در سال گذشته حداقل یک بار مورد هدف حملات API قرار گرفتند. بیش از نیمی از شرکت‌کنندگان مشکلات‌شان را ناشی از وجود حداقل یک آسیب‌پذیری دانسته و حدود 46 درصد از سازمان‌ها نیز معتقد بودند که با چالش‌های مربوط به احراز هویت مواجه شده‌اند. محققان نیز پس از انجام تحقیقات گسترده به افزایش 348 درصدی ترافیک حملات API در نیمه اول سال 2021 پی بردند. این رشد چشمگیر نسبت به رشد 141 درصدی ترافیک کلی API که توسط BetaNews برای همان دوره گزارش شده بود بسیار ناچیز است.

چه عاملی منجر به وقوع حملات API می‌شود؟

به زبان ساده عامل اصلی که نقش بسیار تأثیرگذاری در بروز حملات API دارد، فقدان توجه و تمرکز نسبت به امنیت API است. در بسیاری از مواقع سازمان‌ها صرفاً خواهان ارایه محصول به بازار بوده و توجه چندانی به امنیت این محصولات ندارند. فقط حدود 40 درصد از شرکت‌کنندگان در نظرسنجی BetaNews اعلام کرده‌اند که یک استراتژی امنیتی ساده برای APIهای خودشان دارند. بیش از 25 درصد از سازمان‌ها گفتند که هیچ راهکاری برای حفظ و تأمین امنیت API ندارند.

البته یکسری از شرکت‌ها نیز جهت تقویت امنیت APIهای‌شان از راهکارهای شبکه سنتی استفاده می‌کنند ولی این ابزارها معمولاً قدرت و توانایی لازم برای ایجاد نظارت کامل بر روی کل سطح حمله را ندارند. در نتیجه بسیاری از مشکلات امنیتی رایج در API نادیده گرفته می‌شوند.

Steve Ragan تحلیلگر امنیت سایبری شرکت Akamai می‌گوید: «نرخ تشخیص و گزارش حملات API کم است. حملات API نیز مشابه باج‌افزارها و حملات محروم‌سازی از سرویس، مخاطرات بسیار زیادی را به وجود می‌آورند ولی مجرمان سایبری معمولاً از روش‌هایی سازمان‌دهی نشده‌ای که چندان جلب توجه نمی‌کنند برای اجرای حملات API استفاده می‌کنند».

مؤسسه گارتنر نیز پیش‌بینی کرده که در سال 2022 میلادی حملات API همچنان جزو مسیرهای حمله مهم خواهند بود.

مسدود کردن حملات API

کارشناسان امنیتی توصیه می‌کنند که سازمان‌ها باید جهت پیشگیری از نفوذهای اطلاعاتی و سایر حوادث امنیتی هر چه سریع‌تر اقداماتی را جهت مسدود کردن حملات API انجام دهند. در ادامه یکسری از نکات مربوط به مقابله با حملات API را مورد بررسی قرار می‌دهیم.

• اولویت‌دهی لازم است اما کافی نیست!

فرایند «حرکت دادن به سمت چپ» شامل انتقال مسئولیت ایمن‌سازی یک برنامه کاربردی به مراحل اولیه فرایند توسعه است. این کار مستلزم تمرکز بر روی شناسایی مشکلات امنیتی پیش از استقرار محصول در محیط است. سازمان‌ها باید با بکارگیری چنین رویکردی خطاهای امنیتی را پیش از ورود محصول به محیط تولید و قرار گرفتن مشتریان در معرض تهدیدات دیجیتالی مثل سرقت داده‌ها شناسایی کنند.

البته اجرای عملی این استراتژی چندان آسان نیست. براساس نتایج تحقیقات و نظرسنجی‌های صورت گرفته سازمان‌ها معمولاً تمایل چندانی به ایمن‌سازی خط تولید ساخت محصول که از جمله عناصر مهم در رویکرد انتقال به سمت چپ است ندارند. همچنین هر سازمانی تلاش می‌کند که با استقرار و بکارگیری ابزارهای آزمون امنیتی مثل اعتبارسنج‌های مبتنی بر الگو، ابزارهای اجرای آزمون فاز و اسکن آسیب‌پذیری، خط تولید ساخت را به صورت کامل تحت پوشش قرار دهند ولی از طرفی با توجه به تفاوت در سطح آگاهی، بودجه امنیت سایبری و سطح تحمل سازمان‌ها در برابر مخاطرات امنیتی، میزان کارایی استراتژی‌های امنیت سایبری نیز مشابه یکدیگر نیستند. به صورت کلی تیم‌های امنیت سایبری باید دقت و توجه زیادی صرف ادغام و اتوماسیون ابزارهای امنیتی در این خط تولید کنند. به این ترتیب سازمان‌ها می‌توانند اطمینان یابند که امنیت در کل فرایند CI/CD ادغام شده و به مراحل بعدی موکول نمی‌شود. در نتیجه زمان مورد نیاز برای انجام کارهای دستی توسط کارشناسان امنیت سایبری کاهش می‌یابد.

• امنیت زمان اجرا، جزو اولویت‌های امنیت API است

واضح است که امنیت زمان اجرا برای مسدود کردن حملات API از اهمیت بسیار زیادی برخوردار است چون در این زمان تیم‌های امنیت سایبری می‌توانند بر روی شناسایی مشکلات امنیتی بالقوه، تشخیص زودهنگام حملات و پیشگیری از رخنه‌های اطلاعاتی تمرکز کنند. به این ترتیب تأمین و حفظ امنیت زمان اجرا باید جزو اولویت‌های اصلی سازمان‌ها برای مسدود کردن حملات API باشد.

بر اساس گفته‌های کارشناسان امنیتی در وب‌سایت Salt Security: «اگر هیچ کار دیگری انجام نمی‌دهید، تمرکز بر روی ایمنی زمان اجرا از جدی شدن مشکل پیشگیری کرده و سرعت مهاجمان را کاهش می‌دهد. همچنین امنیت زمان اجرا به تنهایی به شما کمک می‌کند تا برای تیم‌های API و برنامه‌های کاربردی زمان بخرید».

در نهایت سازمان‌ها باید اطمینان یابند که امکان حذف آسیب‌پذیری‌هایی که در زمان اجرا شناسایی می‌شوند به صورت قطعی وجود دارد. می‌توانید برای انجام این کار و هچنین جهت پیشرفت و بهبود مستمر از ایجاد حلقه بازخورد در بین تیم‌های مهندسی و امنیت استفاده کنید. تیم‌ها می‌توانند از این حلقه‌ها برای درک بهتر آسیب‌پذیری‌ها و رفع آنها به صورت مستمر استفاده نموده و به این ترتیب وضعیت امنیتی‌شان را به مرور ارتقا و بهبود داده و احتمال وقوع حملات سایبری را کاهش دهند.

• امنیت API مستلزم وجود یک رویکرد تعدیل شده است

سازمان‌ها باید جهت حمایت از امنیت API و مقابله با حملات API از رویکردی استفاده کنند که در بین فناوری و فرهنگ توازن برقرار می‌کند. ترویج همکاری در بین تیم‌های امنیت و توسعه از جمله عناصر اصلی فرهنگ‌سازی بوده و تأثیر بسیار زیادی در مسدود کردن حملات API دارد. بر اساس یکی از مقالات Dark Reading، این تعدیل‌سازی منجر به همسو کردن اولویت‌های افرادی که مسئولیت نوشتن APIها را بر عهده دارند با افرادی است که مسئول حفاظت از داده‌ها و سرویس‌هایی دیگری هستند که APIها به آنها متصل می‌شوند. سازمان‌ها می‌توانند این همکاری را با آموزش مستمر بحث امنیت API هم برای توسعه دهندگان و هم مدیران امنیت اطلاعات تکمیل کنند.

در رابطه با ابزارها، سازمان‌ها باید در پی ابزارهای امنیتی باشند که تعداد حوادث سایه‌ای (حملات ناشناخته) و APIهای زامبی (یا همان APIهای منسوخ شده) را کاهش دهند. همچنین این ابزارها باید امکان تشخیص APIهایی که داده‌های حساس را افشا می‌کنند، اعمال حفاظت‌های زمان اجرا و ایجاد حلقه بازخورد DevOps را داشته باشند. سازمان‌ها نیز باید به جای استفاده از فرایندهای دستی برای مسدود کردن حملات API، از ابزارهای خودکار استفاده کنند چون انسان‌ها به تنهایی نمی‌توانند با این حملات مقابله کنند.

 

منبع: informationsecuritybuzz