3 hlavní API zranitelnosti a jak jim předcházet

Rozhraní pro programování aplikací je skutečným hrdinou digitální revoluce. Díky API dokážeme spojovat různé softwarové části a doplňky, a tím vytvářet nové možnosti pro uživatele. Poskytuje nám ale také přímou cestu k backendovým databázím, a je proto atraktivním cílem pro kyberútočníky. Bezpečnost API navíc také podkopává skutečnost, že v posledních letech prudce vzrostlo jejich využití, což může vést k tomu, že řada nasazených změn není zdokumentována a zabezpečena.

Jak závažné jsou API zranitelnosti?

Rozhraní API jsou klíčem k tzv. composable enterprise, konceptu společnosti Gartner, který podporuje organizace v rozdělování jejich aplikací na moduly PBCs – packaged business capabilities. Tím, že jsou tyto menší komponenty různými způsoby sestavovány, mají podle této myšlenky umožnit firmám rychlejší vývoj – vytvářet nové funkce a automatizované úlohy s cílem vyhovět uživatelským nárokům v reakci na rychle se vyvíjející potřeby trhu. API je zkrátka důležitou součástí PBCs, jejichž používání v poslední době prudce vzrostlo spolu s tím, jak je zaváděna tzv. architektura mikroslužeb.

API zranitelnosti a umělá inteligence

Právě rozhraní pro programování aplikací celé řadě firem umožňuje integraci nových nástrojů umělé inteligence do jejich existujících řešení. Firmy tak mohou daleko efektivněji a rychleji reagovat na současný překotný rozmach těchto nástrojů bez toho, aniž by musely investovat do vývoje vlastních řešení. To vše nicméně představuje výzvy pro bezpečné nakládání s daty. Od 1. srpna 2024 navíc vstoupilo v platnost nové nařízení Evropské unie, AI Act, které představuje několik povinností, které budou muset firmy a instituce dodržovat. Cílem AI Act je zajistit, aby systémy AI byly bezpečné, transparentní, nediskriminační a respektovaly základní lidská práva.

Jaké povinnosti přináší AI Act firmám a na co si dát pozor? Poslechněte si náš podcast TruPositive s advokátkou Petrou Dolejšovou.

Téměř všichni (97 %) vedoucí pracovníci v oblasti IT po celé světě se proto nyní shodují, že úspěšná implementace strategie pro využívání API je pro budoucí příjmy a růst jejich společností zásadní. Stále častěji se však zdrojem obav stává samotný objem použitých rozhraní a jejich rozšiřování mezi více týmů a různých systémových architektur. Ve velké firmě mohou existovat až desítky nebo dokonce stovky tisíc rozhraní pro zákazníky a partnery. Nicméně i středně velké organizace jich mohou provozovat až tisíce.

Jaký mají API zranitelnosti dopad na firmy?

Bezpečnost této problematiky rozhodně není jen teorií a dokládají to některé incidenty z minulého roku:

• Společnost T-Mobile USA přiznala, že kybernetičtí útočníci získali prostřednictvím rozhraní přístup k 37 milionům jejích zákazníků, a to k jejich osobním údajům a informacím o účtu.
  
  
  
• Špatně nakonfigurovaná implementace Autorizace (OAuth) na webu Booking.com pravděpodobně umožnila sérii závažných útoků k převzetí uživatelských účtů na této ubytovací platformě.

Zranitelnosti neohrožují jen pověst společností a jejich hospodářské výsledky. Mohou také zbrzdit důležité obchodní projekty. Více než polovina (59 %) organizací tvrdí, že musela zpomalit zavádění nových aplikací kvůli obavám o bezpečnost. A je to také nyní jeden z důvodů, proč se téma API zranitelností posunulo až do nejvyšších pater řady firem.

3 největší rizika

Existují desítky způsobů, jak mohou hackeři API zneužít. Projekt a komunita OWASP však ve svém seznamu OWASP API Security Top 10 2023 podrobně popisuje především následující tři hlavní bezpečnostní rizika:

1.       BOLA neboli zranitelnost Broken Object Level Authorization

API zpravidla nedokáže ověřit, zda má uživatel opravdu oprávnění získat přístup k nějakým konkrétním datům. Tento nedostatek ale může vést až ke krádeži, úmyslné změně nebo odstranění dat. Útočníkům stačí vědět, že takový problém existuje. Ke zneužití BOLA nemusí použít žádný malware ani odcizená hesla.

2.       Chybějící nebo špatně nastavená ochrana prostřednictvím autentizace

Ověřování API může být pro mnoho vývojářů „složité a matoucí“. OWASP například varuje, že mohou mít mylné představy o tom, jak takovou autentizaci implementovat. Samotný mechanismus ověřování je navíc veřejně přístupný, což z něj samozřejmě činí atraktivní cíl. Ke koncovým bodům API zodpovědným za ověřování je tak třeba přistupovat jinak než k ostatním, a to s cílem zvýšit jejich ochranu. A každý použitý mechanismus ověřování musí také reagovat na příslušný vektor útoku.

3.       BOPLA (Broken Object Property Level Authorization)

Útočníci mohou číst nebo měnit hodnoty vlastností dat, ke kterým nemají přístup. Koncové body API jsou zranitelné, pokud vystavují vlastnosti dat, která jsou považována za citlivé („excessive data exposure “) nebo pokud umožňují uživateli měnit, přidávat anebo odstraňovat hodnoty vlastností citlivých dat („mass assignement“). Neoprávněný přístup může vést k vystavení dat neoprávněným osobám, jejich ztrátě nebo manipulaci s nimi.

Je důležité si také uvědomit, že tyto zranitelnosti se navzájem nevylučují. Některé z nejhorších úniků dat způsobených zranitelnostmi rozhraní byly způsobeny kombinacemi zneužití, jako je BOLA, a nadměrného vystavení dat.

Jak zmírnit hrozby v podobě API zranitelností

Vzhledem k tomu, co je v sázce, je nezbytné, abyste do každé strategie využívání rozhraní pro programování aplikací od začátku zahrnuli zabezpečení. To znamená vědět, kde všude se vaše rozhraní nacházejí, a kombinovat nástroje a techniky pro správu ověřování koncových bodů, zabezpečení síťové komunikace, zmírnění obecných chyb a poradit si také s hrozbami v podobě škodlivých botů.

Zde je několik kroků, se kterými můžete začít:

• Zlepšete správu rozhraní pomocí modelu vývoje aplikací, který bude přímo zaměřený na API, a umožní vám tak získat přehled a kontrolu. Tím navíc přidáte zabezpečení na důležitosti, protože vám to umožní uplatňovat kontroly již v rané fázi životního cyklu vývoje softwaru a automatizovat je v rámci procesu dodávání softwarových řešení.
  
  
• Pomocí nástrojů pro zjišťování použitých API minimalizujete množství stínových rozhraní, která se již ve firmě nacházejí. Zjistíte, kde přesně jsou použita a zda obsahují zranitelná místa.
  
  
• Nasaďte bránu rozhraní API, která přijímá požadavky klientů a směruje je na správné backendové služby. Tento nástroj pro správu vám pomůže ověřovat, řídit, monitorovat a zabezpečit provoz API.
  
  
• Přidejte firewall WAF (web application firewall), který zvýší zabezpečení brány rozhraní a zablokuje škodlivý provoz včetně DDoS útoků a jiných pokusů o zneužití dat.
  
  
• Šifrujte všechna data (tj. prostřednictvím protokolu TLS) procházející rozhraním API, aby nemohla být zachycena při útocích typu man-in-the-middle.
  
  
• Používejte autorizaci OAuth pro řízení přístupu API například k webovým stránkám, aniž byste vystavili uživatelské přihlašovací údaje.
  
  
• Omezte rychlost, abyste snížili četnost volání rozhraní API. Tím zmírníte hrozby v podobě DDoS útoků a dalšího nežádoucího přetížení.
  
  
• Používejte monitorovací nástroj k zaznamenávání všech bezpečnostních událostí a označení podezřelých aktivit.
  
  
• Zvažte zavedení přístupu nulové důvěry (zero trust), který předpokládá, že uvnitř vytyčeného perimetru nelze důvěřovat žádným uživatelům, prostředkům ani zdrojům. Místo toho budete muset vyžadovat důkaz o ověření a autorizaci pro každou operaci.

Digitální transformace je pro moderní firmu palivem, které pohání udržitelný růst. Proto se dnes rozhraní pro programování aplikací dostávají do popředí zájmů s každým zahájením nového vývojového projektu. Musí být důsledně zdokumentována, vyvinuta podle zásad secure-by-design a zabezpečena vícevrstvou ochranou.