מי אתה Defender for APIs? מבט כללי
כלי חדש נכנס אל Defender for Cloud (דפנדר לענן) – Defender for APIs. מי אתה? ומה הבשורה שאתה מביא? ואיך זה מתחבר אל ראייה רחבה והוליסטית של Defender for Cloud? ומהי המטרה בראיית CNAPP ואבטחת API? מאמר שלוקח אותנו למבט כללי והבנה של הכלי החדש של Defender for APIs שנכנס ישירות אל ממשק Defender for Cloud ומרחיב את הכיסוי ויכולות האבטחה בענן.
ממשקי API מוגדרים עם אפליקציות ומפעילים יישומים מודרניים, מנגישים חוויות דיגיטליות ומאפשרים חדשנות וצמיחה עסקית. לצד זה הנגשת אפליקציות ובפרט APIs טומנים בחובם סיכוני אבטחה שאנו לא תמיד מודעים אליהם. ממשקי APIs נמצאים בליבת השירות של כל ארגון ולמעשה הוא תווך מרכזי של המון אפליקציות ותקשורת בין משתמשים, שירותי ענן ונתונים – וזאת, ככל שארגונים עוברים מארכיטקטורות יישומים מונוליטיות לארכיטקטורות אפליקציות ויישומים מבוססי מיקרו-סרוויס.
אז מי אוהב APIs? האתגר המעניין הוא שממשקי APIs אהובים על מפתחים וקבוצות תקיפה (שחקני תקיפה/איום במרחב הסייבר) כאחד. שחקני תקיפה משתמשים יותר ויותר בממשקי APIs כווקטור תקיפה וניצול כדי לפרוץ לאפליקציות ויישומי ענן, מה שאומר שאבטחת APIs נמצאת כעת בעדיפות קריטית עבור צוותי ומנהלי אבטחת מידע.
כדי להילחם באיומי אבטחה של APIs, הגיע אלינו כלי חדש שהוא חלק מתוך Defender for Cloud ומטרתו היא להגן על אפליקציות ויישומים בענן. ארגונים רבים מסתמכים על פלטפורמת Azure API Management כדי לנהל ממשקי APIs. כעת, באמצעות Defender for APIs עבור Azure API Management, צוותי אבטחה יכולים להשתמש ולנהל מתוך Defender for Cloud נראות לגבי ממשקי APIs, להבין את מצב האבטחה שלהם, לתעדף תיקוני פגיעויות ולזהות איומים מבוססים זמן ריצה פעילים – משם להגיב בזמן קצר.
אבטחת API קריטית בענן
ארכיטקטורות מבוססות מיקרו-סרוויס וטביעות רגל של אפליקציות ויישומים מרובי עננים (מי אמר Cloud-Native App) הרחיבו את השימוש של APIs באופן דרסטי, מה שמוסיף מורכבות נוספת לאבטחת API. לעתים רחוקות יש נקודת גישה אחת שבה ניתן לאכוף אבטחת API. כלי האבטחה ההיקפית הקיימים מספקים יכולות נחוצות כמו בקרת גישה ותעבורה ובקרות אבטחה מבוססות כללים, אך חסרה ידע התנהגותי של APIs, מה שמשאיר חלקים אפורים באבטחת API.
בשנים האחרונות, היה אפשר לראות עלייה דרמטית בהתקפות מבוססות APIs. התרשים הכללי מטה מביא מספר מקרים בודדים ואת השפעתם. יש אובדן נתונים רגיש, כמו מתקפת Whisper שחשפה מיליוני פרופילים פרטיים של משתמשים ומתקפת Experian שחשפה מיליוני פרטי אשראי של משתמשים. יש גם נזק ליחסי ציבור שמגיע יחד עם ההתקפות האלה, שיכול להוביל לאובדן הכנסות במיליונים. וכן, ישנם קנסות משפטיים שיכולים להיות כבדים מאוד. ויש גם נזק עקיף שאינו רשום בצ'ק ואתו מרגישים לאחר תקריות.
במקרה שסוקר ע״י BBC, בשנת 2022, חברת הטלקומוניקציה הגדולה ביותר באוסטרליה Optus נחדרה באמצעות הווקטור של API. תקיפה שהשפיעה על יותר בסביבות 10 מיליון לקוחות, שזה שווה ערך ל 40% מהאוכלוסייה האוסטרלית, בפריצה הזאת נחשפו פרטיהם האישיים. הפריצה הזאת עלתה לחברה יותר מ 140 מיליון דולר כדי לכסות את עלות הפריצה והשלכותיה. על פי פרטים שדווחו לציבור, הפריצה התרחשה באמצעות API לא מוגן וחשוף לציבור. API זה לא דרש אימות משתמש לפני שאפשר חיבור, מה שאומר שכל מי שגילה את ה API באינטרנט יכול היה להתחבר אליו ולנצל את המידע.
כאמור, חלה עלייה דרמטית בפיתוח יישומי ענן כאשר חברות מספקות ערך חדש לדרישות שלהם והופכות את היישומים שלהן למודרניים. יישומי ענן מתמקדים יותר ויותר בממשקי APIs בליבת הנתונים. Experian, טוויטר וארגונים רבים אחרים בתעשיות שונות נכנעו לפריצות APIs בעלות גבוהה של מאות מיליוני דולרים. פגיעות יחידה עלולה לדלוף נפחים של נתונים רגישים, לגרום לשיבושים בשירות ולסכן יישומים – וכתוצאה מכך לגרום לנזקים כספיים, מוניטין ותהליכים משפטיים.
הגישה של Microsoft לאבטחת API
Microsoft בונה יכולות אבטחת API ישירות בפלטפורמה של Defender for Cloud – פלטפורמה משולבת והוליסטית להגנה על יישומים בלסביבות מולטי ענניות. באמצעות Defender for Cloud, ארגונים מקבלים נראות מרכזית, פיקוח, ניתוח נתיבי תקיפה, תעדוף סיכונים והגנה מפני איומים בסביבה מולטי עננית לאורך מחזור החיים המלא של רכיבי ענן ובפרט יישומי ענן. גישה זו מסייעת להגביל שטחים מתים, מספקת תצוגה אחידה וכן תובנות הקשריות נחוצות כדי לצמצם בעיות אבטחה, להבין היכן ישנו בליינדספוט, ליצור מגע עם תקיפות אקטיביות ככל האפשר ולזהות תקיפות פוטנציאליות בנוף האיומים המתפתח של הענן.
Defender for APIs יכול לסייעבמניעה, זיהוי ותגובה לאיומי API באמצעות גישה הוליסטית לאבטחת API המוכללת בפלטפורמת Defender for Cloud עם היכולות הבאות: (חלק מהיכולות)
לסווג ולהבין פרופיל סיכון של ממשקי API
עבור ממשקי API ישנה סריקה, קליטה והבנה של שטחים ואיחוד הנראות של ממשקי API החשובים והרגישים ביותר באמצעות תובנות לגבי פרופיל וסיכונים. תובנות אלה נאספות בהתבסס על גורמים כגון אימות שבור או חסר, נקודות קצה חשופות של API, נקודות שאינן בשימוש ועוד. כמו כן, ניתן לזהות אילו ממשקי API חושפים נתונים רגישים או PII באמצעות יכולות סיווג הנתונים – אלה נעשים ברמת גוף הבקשה והתגובה.
להקשיח תצורות API ולתעדף תיקון סיכונים
הפחתת הסיכון ומשטח התקיפה היא קריטית לאסטרטגיית אבטחה יעילה, ולכן, Defender for APIs נותן תובנות שמאפשרות לנו להעריך בקלות בקרות אבטחה של API מול שיטות עבודה מומלצות הן בבמצבים של זמן ריצה והן במצבים של תשתית כקוד. אנו יכולים להשתמש בשאילתות פשוטות מבוססות גרפים כדי למצוא במהירות ממשקי API עם וקטורי תקיפה נפוצים כגון נקודות קצה של API חשופות לרשת החיצונית, כאלה שאינן מאומתות ועוד – משם להקשיח את התצורות שלהן.
יתר על כן, היכולות הקיימות מבינות סיגנלים ואיומים ומשם לבנות נתיבי תקיפה מתועדפים, כך שיהיה אפשר לטפל באופן הוליסטי מול סיכוני הענן. גישה זו מסייעת למזער שטחים מתים הקיימים. ממשקי APIs הם נקודת הכניסה ליישומי הענן – ווקטור התקיפה העליון ביותר, ולכן, תובנות API הן חלק קריטי בניתוח נתיבי התקיפה בענן.
הגנה מפני איומי API וכיסוי מבוסס OWASP API Top 10
״האבטחה טובה רק כמו החוליה החלשה ביותר שלה.״ אם שחקן תקיפה עוקף את כל ההקשחה והבקרות ומשם מסכן API, דרושה יכולת לזהות את שחקן התקיפה בפעולה, לנקוט בצעדים הדרושים כדי לחקור את ההתקפה ולכוונן בקרות מניעה נוספות. Defender for APIs מספק יכולות זיהוי איומים כדי לזהות התקפות נגד איומי API המובילים של OWASP, כולל חילוץ נתונים, התקפות נפח ועוד. במצב כזה אנו מקבלים מבט על איומים פעילים, דפוסי שימוש חריגים וחשודים, ניטור תעבורת זמן ריצה, וכן, הזנות בינת איומים. ולבסוף, Defender for APIs משתלב עם Microsoft Sentinel ופתרונות SIEM אחרים כדי לאפשר לצוותי SOC במאמצי תיקון מהירים ויעילים יותר.
כאמור, Defender for APIs נועד עבור ממשקי API והוא מביא תובנות אבטחה, זיהויים מבוססי ML והערכה לא מאומתת מול ממשקי API הנחשפים דרך Azure API Management.
לאחר מכן נוכל להמשיך אל Defender for Cloud, שם נקבל את ההמלצה לשלב ממשקי API לניהול. לאחר מכן, תהיה אפשרות לשלב ממשקי API מתוך שירותי ניהול API שונים של Azure. וזהו, קצר!
כחלק מהליך הסריקה, המיפוי והקליטה, הדפנדר יעבור על ממשקי APIs כדי לזהות את כל נקודות הקצה וכן הפעולות המתארחות בממשקי APIs שנבחרו. לצד זאת, תעבורת ניהול APIs משוקפת באופן שקוף לדפנדר על מנת לבנות הבנה של אופן השימוש בממשקי APIs ולפי איזה סוג של מידע עובר דרכה.
הערה: הטמעת ממשקי APIs עשויה להגדיל את צריכת העיבוד, הזיכרון והרשת של שירות Azure API Management. הערך בזהירות אילו ממשקי APIs לצרף, נטר את התעבורה והרחיבו במידת הצורך.
מה יש ב Defender for APIs?
איתור והתראה
Defender for APIs מאמץ Machine Learning ולכן זה מסייע בשיפור הסריקות, הגילוי והעלאת הבעיות.
הדפנדר מנתח את התעבורה העוברת מול APIs ואת תוכן הבקשה. ע״י כך, Defender for APIs מספק זיהויים מבוססי ML ומטפל בפרצות אבטחה, פוטנציאל תקיפה, תקיפות בפועל לצד סיכוני API מבוססי OWASP. לדוגמה, אם העומס על נקודת קצה מסוימת עבור IP מסוים הוא גבוה באופן דרסטי ממה שצפוי בדרך כלל, תעלה התראה בהתאם. ההתראות גלויות בתוך ממשקי Defender for APIs ומספקות מבט כולל על המשאב המושפע, וכן פרטים על נקודת הקצה והבקשות.
- גודל פיילואד המגיע מכתובת IP יחידה לנקודת קצה של API.
- עלייה חשודה בהשהיית API בין כתובת IP יחידה לנקודת קצה של API.
- פרמטר לא שכיח המשמש לנקודת הקצה של ה API.
תובנות
ממשקי APIs מאפשרים ליישומים ואפליקציות לקיים אינטראקציה ולהחליף מידע, ומאפשרים יצירת ואינטגרציה מול מערכות מורכבות ומשולבות. עם זאת, ככל שממשקי APIs הופכים נפוצים יותר ונמצאים בשימוש נרחב, הם גם הופכים למטרה עיקרית להתקפות סייבר.
על מנת לאבטח ממשקי APIs ולהגן מפני סיכונים ואיומי אבטחה פוטנציאליים, חשוב שתהיה הבנה עמוקה של אבטחת API. תובנות באבטחת API יכולות לעזור למפתחים ובמקרה זה, לאנליסטים, לזהות פגיעויות ולטפל בהן. ללא אמצעי אבטחה מתאימים, ממשקי APIs עלולים להיות פגיעים לדברים כגון התקפות הזרקה, אימות והרשאה שבורים ומצבי XSS. לכן, השגת תובנות לגבי אבטחת API היא חיונית עבור כל ארגון שרוצה למזער בעיות, לקבל אינדיקציות על איומים ולהגיע למצבי שלמות וזמינות טובים יותר של הנתונים והמערכות.
כאשר עוברים לתכונת אבטחת API, הממשק מנגיש סקירה כללית עם כל המידע והקולקציה. קולקציה/אוסף הוא בעצם APIs בתוך Azure API Management המכיל את כל נקודות הקצה הזמינות.
- מודעות והבנה לגבי נתונים רגישים או נקודות קצה לא מאומתות.
- מספר נקודות הקצה של APIs בתוך קולקציה.
- באיזה שירות ניהול APIs התגלתה הקולקציה.
- מספר נקודות הקצה הלא פעילות, למשל, נקודות קצה שלא נעשה בהן שימוש בפרק זמן מסוים.
- גילוי והתראות על תנועות חיצוניות.
השילוב עם CSPM
שיפור מצב האבטחה של API
ממשקי API שהוגדרו באופן שגוי, כולל ממשקי API לא מאומתים ולא פעילים/זומבים, מהווים איום משמעותי על אבטחת הנתונים ויישומי אינטרנט רחבים יותר. פגיעויות אלה עלולות לחשוף מידע רגיש לגישה לא מורשית ולחילוץ לא מורשה/זדוני. ההשלכות של הפרות כאלה יכולות להיות חמורות, ולהוביל לנזק למוניטין ולהפסדים כספיים. Defender for APIs נועד לסייע בשיפור מצב אבטחת API בהקשר של אבטחת הענן ההוליסטית ע״י הערכת תצורות שגויות ופגיעויות APIs.
עם מערך מקיף של יכולות הערכה וסיווג נתונים רגישים, ישנו ניטור של שיטות עבודה מומלצות לאבטחה, וכן גישת הגנה מעמיקה כדי לאפשר הגנה מפני התקפות APIs כגון הרשאה ברמת אובייקט שבור, הזרקה וחילוץ נתונים, במיוחד כאשר הם נחשפים חיצונית. בנוסף, Defender for APIs הולך צעד אחד קדימה ע״י מתן המלצות מעשיות להקשחת תצורות ממשקי APIs, ומשפר את מצב האבטחה הכולל של יישומים.
הקשחת מצב אבטחת API
צוותי אבטחה מתמודדים לעתים קרובות עם המשימה המרתיעה של הנחיות או יישום של ממצאי אבטחה רבים והמלצות על בסיס יומי. זה יכול להוביל לעייפות ולהפוך את זה למאתגר לתעדף ולטפל ביעילות בנושאים הקריטיים ביותר.
Contextual Cloud Security Explorer של Defender for Cloud פותר בעיה זו ע״י הנגשת יכולות לזיהוי בעיות בסיכון הגבוה ביותר שיש לפתור תחילה. יכולות השילוב החדשות מרחיבות את קטגוריית המשאבים שניתן לבצע בהם שאילתות ישירות בתוך Cloud Security Explorer בכל שירותי ניהול של API, הקולקציה של APIs וכן נקודות הקצה באותו חשבון Azure.
