Prévention des attaques API : Préparation à la nouvelle cible de prise de contrôle de compte des cybercriminels

• La conception ouverte et la structure prévisible créent de nombreuses portes ouvertes qui permettent de sonder facilement.
  Les développeurs ont tendance à créer des API flexibles avec des structures prévisibles adhérant à des architectures logiques (telles que REST), ce qui permet aux criminels de rechercher facilement des données supplémentaires qui pourraient avoir été exposées.
  
  
• La visibilité interorganisationnelle réduite rend difficile l’observation de l’activité de l’API, surtout si vous ne savez même pas que l’API existe.
  Les API sont souvent publiées avant que les équipes SecOps n'en aient connaissance, créant ainsi un écosystème d'API fantôme ou zombie et un manque de visibilité de bout en bout sur le trafic des API.
  
  
• La complexité accrue crée des API non gérées et non sécurisées, ce qui entraîne une surface d’attaque plus large.
  Les environnements distribués et la prolifération des services rendent difficile la découverte, la gestion et la surveillance cohérentes de toutes les API, ce qui entraîne un nombre accru de menaces et une vulnérabilité accrue aux incidents de sécurité et de confidentialité.

Les attaques de robots malveillants modernes continuent d'évoluer, ce qui fait que les anciens outils de prévention des robots ne parviennent pas à maintenir leur efficacité. Ce problème va probablement s’aggraver en ce qui concerne les API, car les attaques de robots sont utilisées pour cibler les API de diverses manières nouvelles et différentes, allant de l’automatisation des analyses d’exploration à la manipulation des ressources et des vulnérabilités de la logique métier, en passant par la réalisation d’attaques de bourrage et d’injection d’informations d’identification.

Les attaques de bourrage d'informations d'identification d'API sont un excellent exemple de la raison pour laquelle les stratégies traditionnelles d'atténuation des robots vous exposent. Certaines API fournissent des jetons d'authentification après la soumission d'un nom d'utilisateur et d'un mot de passe, de la même manière que lors de la connexion à un site Web. Ce jeton est généralement utilisé pour toutes les autres requêtes adressées à l'API. Il s'agit d'un modèle courant dans les API, en particulier les plus anciennes, et il est vulnérable aux attaques de type credential stuffing et password spraying.

Il est difficile de faire la différence entre les attaquants et les vrais clients, car ces types d’efforts ciblés contournent la plupart des contrôles traditionnels. Les contrôles de sécurité traditionnels, tels que les pare-feu d'applications Web (WAF) de base et les systèmes de gestion des informations et des événements de sécurité (SIEM), ne suffisent pas à identifier et à prévenir les attaques de robots sur les API, en partie à cause du volume élevé de trafic de machine à machine, ou d'API à API. Les attaques peuvent ressembler à un comportement normal d'une application en surface, mais en coulisses, les API peuvent être exploitées et détournées, permettant aux attaquants d'échapper à la détection jusqu'à ce qu'il soit trop tard.

La sécurité des API est une responsabilité partagée au sein de l'organisation, ce qui accroît la nécessité de se préoccuper des attaques pilotées par des robots qui conduisent à des compromissions et à des violations de données, ainsi que de celles qui ont un impact sur la disponibilité et la fiabilité, tant pour les applications Web héritées que pour les structures API modernes.

En matière de sécurité des API et de protection contre les accès non autorisés via les API , que ce soit par le biais du bourrage d'informations d'identification, de la force brute ou d'autres mécanismes de tentative de connexion forcée, un moteur d'IA/ML sophistiqué peut aider en identifiant les tentatives de connexion infructueuses ou les tentatives de découverte des paramètres de l'API, et en signalant ces tentatives pour que les équipes d'exploitation les examinent.

Les organisations peuvent renforcer la sécurité de leurs API de plusieurs manières, notamment en validant les connexions et les accès, en surveillant et en alertant sur le comportement au fil du temps, et en aidant à identifier les comportements inhabituels des clients afin de repérer les zones potentielles de compromission.

• Surveillez et protégez en permanence les points de terminaison de l'API pour identifier les intégrations d'applications changeantes, détecter les composants vulnérables et atténuer les attaques via des intégrations tierces.
• Implémentez un modèle de sécurité positif qui s'intègre à votre pipeline CI/CD et prend en charge les spécifications d'interface OpenAPI et Swagger pour valider facilement le schéma, appliquer la conformité du protocole, établir automatiquement une base de référence pour les modèles de trafic normaux et détecter les comportements anormaux.
• Adoptez la confiance zéro et la sécurité basée sur les risques en adoptant les principes d’accès au moindre privilège, en inspectant les charges utiles, en empêchant l’exposition non autorisée des données et en mettant en œuvre le contrôle d’accès et l’authentification basée sur les risques pour les objets et les fonctions. Cela devrait inclure la collecte de renseignements et la création d’une base de référence pour le comportement normal des robots par rapport à vos API. En tirant parti de l’analyse comportementale et des modèles, de la validation du flux de travail et de la prise d’empreintes digitales, vous pouvez faire la différence entre l’activité humaine, celle des bons et des mauvais robots.
• Réagissez à l'évolution du cycle de vie des applications en empêchant les erreurs de configuration de sécurité dans des environnements hétérogènes, en atténuant les abus pouvant conduire à une compromission et à un déni de service et en corrigeant les menaces de manière cohérente dans les clouds et les architectures. Continuez à analyser, tester et surveiller vos API pour détecter les erreurs de configuration, les vulnérabilités et les failles de logique métier.

Vous devez envisager d'avoir une vue centralisée de votre posture de sécurité API pour permettre à votre organisation d'agir rapidement, d'identifier les problèmes potentiels au sein de votre environnement API, d'approfondir, d'enquêter et d'agir de manière appropriée pour neutraliser toute anomalie ou menace pouvant avoir un impact sur la connectivité, la disponibilité ou la sécurité des applications et des API.

Apprenez-en davantage sur la manière dont vous pouvez prévenir les attaques de prise de contrôle de compte dans ce webinaire à la demande .