К сожалению, сегодня нередко бывают ситуации, когда разработчики API-интерфейсов слишком торопятся и не уделяют достаточно внимания вопросам безопасности.
За последние пару лет наметился заметный сдвиг в характере трафика API, который уже в большей степени зависит не от действий человека, а становится всё более управляемым ботами. Раньше требовалось, чтобы именно человек кликнул на что-либо на веб-сайте, чтобы инициировать вызов и ответ API. Но теперь уже существуют сайты и приложения, где более 98% общего трафика является результатом работы ботов, в том числе и вредоносных.
Атаки с использованием ботов становятся всё более привычным явлением. Ну а поскольку мы живём во времена растущей зависимости от API-интерфейсов, всё больше хакеров стараются воспользоваться данной лазейкой. Их целью может быть, например, взлом учётных записей или повышение нагрузки на систему, в результате чего пользоваться сервисом становится затруднительно, а то и вовсе невозможно. API-интерфейсы сегодня – это новый рубеж для киберпреступности и это обязательно нужно учитывать.
Но интересно то, что большинства подобных проблем можно было бы избежать, если бы в компании, ставшей жертвой вредоносного бот-трафика, изначально проявили бы больше внимания при внедрении API. Именно никому не нужная поспешность часто является главной причиной появления проблем с безопасностью.
Слишком часто разработчики быстро развёртывают API-интерфейсы, не прошедшие достаточных проверок в вопросах безопасности, которые упрощают работу злоумышленникам. Например, API могут не соответствовать спецификациям OpenAPI, или содержать данные, предназначенные исключительно для внутреннего использования.
И проблема эта стала особо острой в 2020 году, когда пандемия коронавируса оказала огромное влияние на повседневную жизнь людей со всего мира. Всё больше компаний начинают расширять онлайн-услуги, нередко делая это второпях, не уделяя достаточно внимания вопросам тестирования. Данная поспешность понятна, но оправдывают ли цели неизбежные в таком случае дыры в безопасности? Это хорошо, когда компании способны реагировать на потребности рынка и быстро развёртывать новые приложения и функции. Но ещё лучше, когда они делают это вдумчиво, учитывая также и все вопросы безопасности.
Вывод тут может быть только один – не нужно спешить при разработке API-интерфейса, как бы велико ни было желание закончить всё сразу и побыстрее. Чрезмерная спешка в данном вопросе может означать финансовые потери для вашей компании и завал службы поддержки жалобами на взломанные и заблокированные аккаунты. Лишняя проверка безопасности ещё никому не вредила.
Кстати, если API-интерфейс уже был создан и активно используется, также не повредит произвести его дополнительную проверку. Можете ли вы защитить свои API от автоматических атак и злонамеренных действий? Вы знаете обо всех API, используемых в вашей организации?
