В RSA Akamai сосредоточила внимание на поддельных сайтах и уязвимостях API
3 мая 2023 г.В прошлом году количество атак с использованием уязвимостей в приложениях и интерфейсах протоколов приложений достигло рекордного уровня, согласно данным компании по обеспечению безопасности Akamai в своем новом отчете о состоянии Интернета. Фирма заявила, что несколько распространенных уязвимостей и CVE — распространенных уязвимостей — сохранялись в прошлом году вслед за известными удаленными выполнениями кода Log4Shell, ProxyNotShell, Spring4Shell и Atlassian Confluence. Компания указала, что включение уязвимостей API в предстоящий выпуск Open Web Application Security Project Top 10 по безопасности API отражает растущую осведомленность о рисках безопасности API.
Сеть доставки контента и поставщик облачных услуг Akamai, который недавно приобрел фирму по обеспечению безопасности API Neosec в рамках сделки, которая, как ожидается, будет закрыта в ближайшие две недели, присоединяется к экосистеме безопасности API. Эта стратегия, по словам Рупеша Чокши, старшего вице-президента и генерального менеджера по безопасности приложений в Akamai, ставит компанию в гиперконкурентную и гиперфрагментированную вертикаль.
«В этом пространстве много игроков, и каждый использует разные точки зрения», — сказал Чокши TechRepublic на стенде Akamai на конференции RSA в Сан-Франциско. «Что нам нужно сделать как отрасли, так это усилить централизацию образования: каковы векторы угроз, поверхности атаки, как атакуют злоумышленники. Многие вопросы клиентов были связаны с открытием и видимостью».
Перейти к:
- Видимость и глубина являются ключевыми
Угрозы API растут вместе с объемом API
Векторы атак в 2023 году
Akamai запускает антифишинговый детектор зеркальных сайтов
Продолжай двигаться или утони
Видимость и глубина являются ключевыми
«Путь к покупателю прост», — сказал Чокши. «Путешествие начинается с вопроса: «Дайте мне видимость, обнаружение, оповещения, и не могли бы вы углубиться в типы моих приложений и обеспечить более надежную встроенную защиту: можете ли вы помочь мне бороться с атакой, закрыть ее и защитить?» Что мне кажется интересным, так это когда я разговариваю с клиентами, в целом управление API, тяга, инструменты и безопасность представляют собой огромное пространство, где клиенты ищут, как не отставать, поддерживать мой инвентарь и понимать мои приложения. Откуда мне знать, какие из них вообще находятся в моем центре обработки данных, потому что вся архитектура модульная, с микросервисами, множеством облачных приложений. С цифровой трансформацией мы по-прежнему находимся в еще более взаимосвязанной экономике, и вся цепочка поставок сильно оцифрована и зависит от API».
Угрозы API растут вместе с объемом API
Akamai отметил, что компании используют в среднем 1061 приложение, и, чтобы дать представление о масштабах атак, отметил, что 8 октября 2022 года было совершено 161 миллион атак API, а пик пришелся на 9 октября. В отчете Akamai рост числа атак объясняется более быстрым жизненный цикл разработки приложения и производственный цикл. Действительно, как отметил Akamai, опрос Enterprise Strategy Group показал, что почти половина организаций заявили, что выпускают уязвимые приложения в рабочую среду из-за нехватки времени.
Компания сообщила об увеличении числа случайных выпусков уязвимостей, при этом каждая десятая уязвимость относится к категории высокой или критической, обнаруженной в приложениях, подключенных к Интернету. Кроме того, количество уязвимостей с открытым исходным кодом, таких как Log4Shell, удвоилось в период с 2018 по 2020 год, при этом атаки во многих случаях начинаются в течение 24 часов после выпуска уязвимости.
Векторы атак в 2023 году
В отчете Akamai утверждается, что локальное включение файлов, или LFI, уязвимость из-за ошибки программиста, является вектором, вызывающим наибольший рост атак на веб-приложения и API, поскольку он используется злоумышленниками в основном для разведки или сканирования уязвимых целей. В отчете говорится, что уязвимости LFI иногда позволяют злоумышленникам получать данные файла журнала, которые могут помочь им проникнуть в более глубокие части сети.
Согласно отчету, это были основные риски API:
- В прошлом году ежедневно совершалось 14 миллионов попыток подделки запросов на стороне сервера, или SSRF, против клиентских веб-приложений и API.
Из-за уязвимостей с открытым исходным кодом, таких как Log4Shell, Akamai прогнозирует рост внедрения шаблонов на стороне сервера или SSTI, методов, которые позволяют удаленное выполнение кода путем внедрения кода в шаблон.
Атаки на медицинские IoT-устройства в прошлом году выросли на 82%, и Akamai ожидает, что эта тенденция сохранится.
«Поскольку мы по-прежнему находимся в еще более взаимосвязанной экономике, API — это связующее звено, на которое нужно обратить пристальное внимание. Многие из этих транзакций являются высокоскоростными. В высоких темпах вам нужно, чтобы эта инфраструктура работала», — сказал Чокши.
В отчете консалтинговой компании Gartner за ноябрь 2022 года отмечается, что взрывной рост API-интерфейсов расширяет эту поверхность атаки, предоставляя злоумышленникам новые возможности взлома и кражи данных. Он отметил, что широкий разброс API и их отсутствие однородности бросают вызов подходу к обеспечению безопасности, основанному на глубокоэшелонированной защите. «Это обусловлено современной архитектурой приложений, моделями разработки, развертывания и интеграции», — отмечается в отчете.
В отчете также говорится, что менее зрелые организации имеют меньшую видимость своих поверхностей API, потому что они объединяют безопасность API с общей безопасностью веб-приложений и поэтому вкладывают средства в брандмауэры, защиту от DDoS-атак и другие типы общей защиты периметра. «Этот наивный подход не позволяет им полностью понять и защитить свой API-ландшафт», — говорится в отчете.
Чокши сказал, что из-за огромного объема данных, передаваемых через API, безопасность требует применения аналитики на основе ИИ.
«Трудно понять, какая часть этого трафика представляет собой угрозу, и именно здесь в игру вступает секретный соус обнаружения, сочетание машинного обучения, моделей ИИ и поведенческой аналитики. Необходимая вычислительная мощность значительна, потому что вы хотите обрабатывать миллиарды транзакций, анализировать их, выявлять проблемы и быстро оповещать клиентов. Вот где отрасль развилась и сосредоточилась на инновациях», — сказал он.
Gartner в своем отчете о решении проблемы безопасности API рекомендует:
- Каталогизируйте и классифицируйте API, как внутренние, так и внешние, чтобы обеспечить правильную оценку рисков и обеспечить взаимодействие с владельцами API и группами доставки.
Оценивайте риски на основе различных характеристик API, включая конфиденциальность данных, важность для бизнеса и влияние на клиентов.
Заполните пробелы в веб-приложениях и защите API, чтобы улучшить безопасность API.
Реализуйте непрерывное обнаружение API и интегрируйте их с платформами управления API, чтобы обеспечить постоянную видимость.
Интегрируйте безопасность API в жизненный цикл разработки программного обеспечения, чтобы создать культуру и процессы, ориентированные на безопасность.
С этой целью работайте с командами разработчиков программного обеспечения, чтобы обеспечить самостоятельную проверку спецификаций API, тестирование безопасности API и регистрацию в каталоге.
Создайте сообщество практиков, чтобы повысить осведомленность и помочь установить общую ответственность и подотчетность за безопасность на протяжении всего жизненного цикла API.
Akamai запускает антифишинговый детектор зеркальных сайтов
В RSA Akamai запустила Brand Protector, новую платформу, предназначенную для предотвращения трафика на поддельные веб-сайты с использованием украденных активов бренда.
Компания заявила, что Brand Protector решает проблему мошеннического подражания с помощью четырехэтапного подхода, включающего:
- Анализ более 600 ТБ данных в день, как из сети Akamai, так и из сторонних источников данных для всесторонней видимости.
Обнаружение злоупотребления брендом с помощью живого трафика (а не задержанных каналов и списков), отслеживание в идеале до начала фишинговой кампании.
Мониторинг с единой информационной панелью в режиме реального времени с ранжированием результатов по оценке угрозы с оценкой достоверности, рейтингом серьезности, количеством затронутых пользователей и временной шкалой событий атак.
Возможности смягчения последствий за счет возможности отправлять запросы на удаление оскорбительного сайта в пользовательском интерфейсе, прикрепляя доказательства обнаружения и вспомогательные данные для простоты использования.
«Технические команды, которые у нас есть, инновации из нашего офиса в Тель-Авиве, на самом деле позволяют нам видеть, что плохие парни на самом деле идут на настоящие веб-сайты, чтобы извлекать объекты — логотипы и изображения — во время рендеринга веб-страницы. Мы видели трафик, идущий на эти поддельные веб-сайты, мы видели, как информация извлекается для их создания, и трафик конечных пользователей, идущий на них», — сказал Чокши.
Продолжай двигаться или утони
Чокси сказал, что злоумышленники выстраиваются в очередь, как «рыба-лоцман», чтобы подделать веб-сайты брендов, часто приуроченные к событиям клиентов. «Мы видим, как клиенты, которых мы обслуживаем, проводят рекламные акции для получения трафика, а злоумышленники раскручивают фишинговые веб-сайты, чтобы получить этот трафик. Это происходит постоянно», — сказал он.
«Что мотивирует наши группы безопасности и исследователей, так это выяснять, чем сегодня занимаются злоумышленники. «Каковы мои сигнальные точки? Как мне связать эти точки данных и быть уверенным, что я что-то знаю?» Это требует особого таланта и убежденности, а кибербезопасность — одна из тех областей, где непрерывное обучение очень важно. Вы должны продолжать двигаться и продвигаться вперед», — добавил он.
Оригинал