API Attacks ، Breaking Piling Up

در ماه آگوست ، ده ها سازمان از Microsoft Power Apps به طور ناخواسته 38 میلیون پرونده-ردیابی تماس های COVID-19 ، شماره های تأمین اجتماعی متقاضیان کار ، و حتی 332،000 آدرس ایمیل و شناسه کارکنان مورد استفاده توسط سرویس های حقوق و دستمزد جهانی خود مایکروسافت را افشا کردند.

علاوه بر مایکروسافت ، سازمان های دیگر تحت تأثیر قرار گرفتند American Airlines. آب کم عمق؛ JB Hunt ؛ و نمایندگی در ایندیانا ، مریلند و نیویورک سیتی.

به گفته محققان UpGuard ، شرکت امنیتی که نشت ها را کشف کرده است ، راه اندازی پورتال های Microsoft Power Apps به آسانی به گونه ای است که دسترسی عمومی را امکان پذیر می کند.

این گزارش می گوید: “چندین نهاد دولتی گزارش کردند که برنامه های امنیتی خود را بدون شناسایی این مشکل بررسی کرده اند.”

مشکل در نحوه پیکربندی رابط های برنامه نویسی برنامه سیستم – API ها – بود.

Radu Crahmaliuc ، متخصص امنیت در شرکت امنیتی Bitdefender می گوید: “ابزارهایی که اجازه ایجاد API ها را می دهند به طور پیش فرض برای دسترسی داده ها به عموم مردم و سازمان ها باید تنظیمات حریم خصوصی را به صورت دستی فعال کنند.”

او به Data Center Knowledge گفت که اکثر آنها چنین نکردند.

وی افزود: “اما این تنها یک مشکل در Microsoft Power Apps نیست.” “این سیستمیک است. خدمات وب آمازون S3 ، Elasticsearch و MongoDB همه تجربه های مشابهی را تجربه کرده اند.”

API ها به سیستم های مختلف امکان تبادل داده را می دهند. به عنوان مثال ، ممکن است یک شرکت از API برای ارتباط با سرویس شخص ثالث استفاده کند ، یک API رو به بیرون راه اندازی کند تا شرکا بتوانند با سیستم های آن تعامل داشته باشند ، یا از API ها برای اجازه دادن به برنامه های تلفن همراه برای صحبت با سیستم عامل های داده پشتیبان استفاده کنند.

از آنجا که API ها اغلب برای دسترسی به مهم ترین داده ها و سیستم ها استفاده می شوند ، API های آسیب پذیر می توانند برای شرکت ها بسیار مضر باشند.

به گفته آکامایی ، ارتباطات API در حال حاضر بیش از 83 درصد از کل ترافیک اینترنت را تشکیل می دهد.

و نقض API شروع به انباشته شدن می کند.

در ماه مه گذشته ، شرکت تناسب اندام Peloton اعلام کرد که اطلاعات حساب مشتریان خود را در اینترنت به دلیل یک API معیوب که اجازه درخواست های بدون احراز هویت را می دهد ، افشا کرده است. هر کسی می تواند به داده های حساب کاربران از سرورهای Peloton دسترسی پیدا کند ، حتی اگر کاربران مشخصات حساب خود را به عنوان خصوصی تنظیم کنند.

دیگر شرکت هایی که اخیراً در زمینه مشکلات سایبری مرتبط با API اخبار را در بر گرفته اند عبارتند از Equifax ، Instagram ، Facebook ، Amazon و Paypal.

در واقع ، بر اساس گزارش IBM Security X-Force که ماه گذشته منتشر شد ، دوسوم نقض های ابری اکنون به دلیل پیکربندی نادرست API ها است.

جان کاسگرو ، مدیر ارشد محصول در زمینه حفاظت از ربات های پیشرفته در Imperva ، می گوید: “API ها یک خطر امنیتی بزرگ برای مشاغل ایجاد می کنند زیرا آنها به عنوان زیرساخت ها و بافت همبند برنامه های مدرن عمل می کنند.”

جیسون کنت ، هکر ساکن در Cequence Security ، گفت که احتمالاً شرکت ها API های بسیار بیشتری نسبت به آنچه فکر می کنند دارند.

وی به Data Center Knowledge گفت: “API ها در حال حاضر تار و پود همه برنامه های جدید هستند ، اما سالهاست که توسط میکروسرویس ها و تیم های توسعه دهنده برنامه های موبایل و ابری مورد استفاده قرار می گیرند.” “دید برای امنیت قوی بسیار مهم است ، بنابراین درک اینکه چند API دارید و نحوه عملکرد آنها بسیار مهم است.”

چه کسی API ها را تماشا می کند؟

یکی از مشکلات امنیت API این است که در چندین دامنه قرار می گیرد.

از یک سو ، توسعه دهندگان نرم افزار معمولاً API ها را راه اندازی می کنند. اما API ها معمولاً اهداف تجاری را ارائه می دهند و به واحدهای تجاری فردی تعلق دارند.

و از آنجا که API ها نیاز به احراز هویت و مجوز دارند ، تیم های امنیتی مسئول قفل کردن آنها یا اعمال استفاده از درگاه های API هستند.

و از آنجا که API ها در مراکز داده و محیط های ابری زندگی می کنند ، مدیران مرکز داده و تیم های عملیاتی ممکن است مسئول ایجاد زیرساخت های اصلی و شبکه برای اجازه عملکرد آنها باشند.

جاناتان پارنل ، مشاور ارشد تحول ابری و مرکز داده در Insight ، گفت که این امر منجر به یک مدل مسئولیت مشترک می شود.

وی به Data Center Knowledge گفت: “چالش در یک مدل مسئولیت مشترک API ها این است که چه کسی در واقع چه چیزی را کنترل و مالک آن است.”

واحدهای تجاری ، تیم های امنیتی ، افراد عملیات و توسعه دهندگان برنامه ممکن است ایده های متفاوتی از آنچه می خواهند API انجام دهد ، چگونه باید آن را انجام دهد و محدودیت ها باید داشته باشند ، داشته باشند.

پارنل گفت که این می تواند منجر به جلسات زیادی برای از بین بردن همه چیز شود.

با افزایش تعداد API ها و تغییر سریع آنها ، مدیریت این امر بسیار دشوار می شود.

به گفته وی ، کلید این است که شرکت ها استانداردهای اساسی و شیوه های معمول را برای استقرار API ایجاد کنند و همه اجزای سازنده را در ایجاد آن ساختار حکومتی مشارکت دهند.

وی گفت: “همه کسانی که به آن API دست می زنند باید دور هم جمع شوند و درباره این سیاست ها توافق کنند.”

در غیر این صورت ، شرکتها قادر نخواهند بود اقتصادهای API اول را بسازند که بسیاری اکنون در حال هدف آن هستند.

حمله ربات ها

API ها نوع خاصی از بردار حملات هستند زیرا آنها برای جابجایی حجم زیادی از داده ها یا انجام خدمات با حجم بالا طراحی شده اند.

به عنوان مثال ، از API می توان برای مثال درخواست داده های حساس یا دستور پرداخت استفاده کرد.

و از آنجا که API ها برای استفاده رایانه هایی که با رایانه های دیگر صحبت می کنند و نه توسط انسان ها طراحی شده اند ، روشهای معمول برای متوقف کردن حملات ربات ها – مانند CAPTCHA ها – کاربرد ندارد.

سندی کاریلی ، تحلیلگر اصلی Forrester Research می گوید: “ربات ها به منطق مشاغل مشروع حمله می کنند.”

او گفت که شرکت ها باید بتوانند بین ربات های بد و ربات های خوب تمایز قائل شوند.

او به Data Center Knowledge گفت: “بنابراین شما به ابزارهایی نیاز دارید که فراتر از محافظت از برنامه های سنتی هستند.”

به عنوان مثال ، فروشندگان فایروال دسترسی به وب و شبکه های تحویل محتوا ، افزودن مدیریت ربات به نمونه کارها را شروع کرده اند. همچنین شرکت هایی هستند که در زمینه مدیریت ربات تخصص دارند.

CAPTCHA ها نقش دارند ، به ویژه هنگامی که API برای اتصال سیستمی مانند ، مثلاً یک برنامه تلفن همراه که کاربر انسانی دارد استفاده می شود.

او می افزاید: “اما راه حل های مدیریت ربات ها همچنین ممکن است ربات ها را به honeypots ارسال کنند ، ربات ها را به تاخیر بیاندازند ، داده های جعلی را ارسال کرده و چالش های دیگر را امتحان کنند.”

از ربات ها می توان برای حمله به API ها به روش های دیگری به جز سرقت داده ها استفاده کرد.

به عنوان مثال ، آنها می توانند یک سیستم را با درخواست ها غرق کنند تا مجبور به خاموش شدن شود.

او گفت که API ها می توانند برای خرید بلیط کنسرت ، کفش های کتانی محدود یا سیستم بازی های گرم قبل از خرید مشتریان واقعی استفاده شوند.

او گفت: “ما حتی می بینیم که ربات ها در دسترس بودن واکسن را سلاح می کنند.” “در هند ، رباتها سیستم رزرو را تحت تأثیر قرار دادند و جنایتکاران شروع به اخذ اسلات از مردم کردند.”

فقط داره بدتر میشه

بر اساس گزارش Salt Security ، حملات API در شش ماه اول امسال 348 درصد افزایش یافته است و 94 درصد از شرکت ها در 12 ماه گذشته دچار حادثه امنیتی مرتبط با API شده اند.

در همین حال ، میانگین تعداد API ها برای هر شرکت بیش از سه برابر افزایش یافته است ، از 28 در جولای 2020 به 89 در ژوئیه 2021 ، در حالی که متوسط ​​حجم تماس ماهانه API در مدت مشابه 141 grew افزایش یافته است.

در 12 ماه گذشته ، 55 درصد از شرکت ها گفتند که در API های خود آسیب پذیری پیدا کرده اند ، 19 درصد داده های حساس را افشا کرده اند ، 39 درصد مشکلات احراز هویت را پیدا کرده اند ، 23 درصد دچار حملات منع سرویس شده اند ، 16 درصد حملات وحشیانه یا اعتبارنامه را مشاهده کرده اند و 12 درصد خراش را مشاهده کردند.

تنها 6 درصد از شرکت ها هیچ مشکلی در رابطه با API نداشتند.

بر اساس این گزارش ، بخشی از مسئله این است که بسیاری از شرکت ها تنها برای توسعه API به توسعه دهندگان تکیه می کنند.

در این گزارش آمده است: “API ها نیاز به حفاظت در زمان اجرا و کنترل های امنیتی خارج از کد برای محافظت دارند.”

الاد کورن ، مدیر ارشد محصول در Salt Security گفت: برخی اقدامات اساسی نیز وجود دارد که شرکت ها باید برای ایمن سازی API های خود انجام دهند.

وی به Data Center Knowledge ، پیروی از بهترین شیوه های احراز هویت ، و استفاده از لیست ده مورد برتر OWASP API برای شناسایی و رفع شایع ترین نقاط ضعف ، شامل رفع و وصله آسیب پذیری ها می شود.