Au-delà des vulnérabilités : pourquoi les abus d'API constituent un défi majeur
À mesure que les interfaces de programmation d'applications (API) prennent de l'importance stratégique, de nombreuses entreprises commencent à augmenter progressivement la maturité et la sophistication de la posture de sécurité de leurs API. Ces initiatives commencent généralement par trois activités principales :
- Mise en œuvre de la détection des API pour créer un inventaire complet et précis de toutes les API approuvées et non approuvées
- Élimination des API non approuvées
- Identification et résolution des vulnérabilités des logiciels et des mises en œuvre qui exposent les API approuvées aux attaques
Ce sont toutes des pratiques essentielles, et il existe d'excellentes ressources, telles que les 10 principaux risques pour la sécurité des API selon l'OWASP , qui fournissent une feuille de route détaillée pour identifier et éliminer les vulnérabilités des API. Mais la détection des API et la résolution des vulnérabilités des API marquent uniquement les premières étapes d'une stratégie de sécurité des API robuste.
Même si vous excellez dans le catalogage de vos API et l'élimination des vulnérabilités, elles peuvent rester très sensibles aux abus. Et l'impact commercial des abus d'API peut être tout aussi dévastateur que les exploitations de vulnérabilités.
Les abus d'API représentent un autre type de problème
Les premiers efforts de sécurité formelle des API portaient sur la protection contre les attaques qui exploitaient les vulnérabilités dans la façon dont les API sont codées ou configurées.
Les abus d'API, cependant, constituent un autre type de problème. Les pirates n'exploitent aucun type de vulnérabilité technique. Au lieu de cela, ils utilisent les API d'une manière non prévue par l'entreprise qui les a créées.
Dévastateurs et difficiles à détecter
Les effets des abus d'API peuvent être dévastateurs. Après tout, de nombreuses entreprises exposent leur logique métier et leurs données de base via des API. La seule chose dont un acteur malveillant a besoin pour voler cette propriété intellectuelle est de l'API appropriée avec les informations d'identification appropriées.
Pour compliquer encore davantage les choses, les abus d'API sont très difficiles à détecter. Étant donné que les acteurs malveillants utilisent des informations d'identification valides et interagissent avec les API de manière similaire à une utilisation légitime, de nombreux produits de sécurité des API de première génération ne sont pas en mesure de les détecter.
Chaque API peut potentiellement être utilisée de manière abusive
Chaque entreprise exposant des API doit supposer que chaque API dispose de scénarios d'abus potentiels. Prenons par exemple les applications et services bancaires en ligne, de budgétisation et de planification financière que bon nombre d'entre nous utilisent aujourd'hui tous les jours. Les API sont essentielles pour faire fonctionner ces différentes options.
Un acteur malveillant possédant les informations d'identification appropriées pourrait facilement tirer parti de la logique métier inhérente et des données accessibles via ces API, pour transformer cette propriété intellectuelle contre les intérêts commerciaux de l'institution financière et les intérêts personnels du titulaire du compte.
Comment se protéger contre la menace croissante des abus d'API
Surveillez constamment les vulnérabilités des API. Il est plus important que jamais de construire une base de sécurité des API qui inclut la détection, l'évaluation des vulnérabilités et la résolution.
Mais étendre votre posture de sécurité des API à toute la gamme des menaces API, y compris les abus d'API, nécessitera trois stratégies importantes supplémentaires :
- Développer votre réflexion sur les attaques API
- Analyser considérablement plus de données sur les API
- Exploiter les API pour détecter les abus
Développez votre réflexion sur ce qui constitue une attaque API
Les 10 principaux risques pour la sécurité des API selon l'OWASP sont idéaux pour commencer à trouver et éliminer les vulnérabilités API. Mais cela ne nous aide pas à comprendre les abus d'API. Jusqu'à l'apparition de cadres du secteur en matière d'abus d'API, il est important que votre équipe réfléchisse plus globalement à la nature des attaques API.
Analysez considérablement plus de données sur les API et l'activité
D'autres solutions de sécurité des API surveillent les appels d'API individuels ou, au mieux, des sessions à court terme. En plus de ressembler à des activités légitimes, le problème est que les abus d'API peuvent se déployer en quelques minutes, heures ou jours. Adopter une approche basée sur le SaaS (logiciel en tant que service) est le seul moyen de collecter et d'analyser des ensembles de données suffisamment volumineux pour vraiment comprendre l'utilisation des API en contexte, et pour détecter les abus et anomalies d'API de type « low-and-slow » à partir du comportement de base.
Exploitez les API pour détecter les exemples d'abus
La vitesse et le volume de l'activité des API sont trop grands pour que l'homme puisse surveiller et comprendre activement le tout. Parallèlement, de nombreuses techniques de sécurité des API traditionnelles ne peuvent pas comprendre l'impact commercial de ce qu'elles observent.
C'est une excellente application pour les techniques d'apprentissage automatique et d'apprentissage artificiel. En supposant que vous suiviez les conseils de cet article de blog et que vous passiez au SaaS : En plus d'avoir davantage de données à analyser, vous aurez accès à la puissance de calcul nécessaire pour effectuer des analyses de Big Data.
Nous ne serons jamais en mesure de prédire l'avenir et d'anticiper complètement la prochaine manière avec laquelle les acteurs malveillants exploiteront une API. Cependant, nous pouvons utiliser l'IA pour déterminer une ligne de base du comportement, comprendre les entités commerciales impliquées et détecter les anomalies qui indiquent un abus éventuel.
Des contrôles sophistiqués pour les risques d'aujourd'hui
Même les API parfaites peuvent être exploitées. L'identification et l'atténuation des risques de sécurité des API nécessitent des contrôles de sécurité suffisamment sophistiqués pour faire face à cet écosystème des menaces complexe et en évolution rapide. Consultez la solution API Security d'Akamai pour rendre vos API plus sécurisées.
