«ПроAPI Структура» с компонентом «Обнаружение утечек API», «ПроAPI Защита» и «ПроAPI Тестирование» созданы для реализации API First подхода при создании веб-приложений. Сегодня это актуальное направление приоритезации продуктовой разработки набирает обороты и масштабируется во всех отраслях экономики. Это обусловлено возросшим числом атак на веб-приложения российских компаний. API, как их составная часть, также подвергаются массированным атакам. Своевременное обнаружение уязвимостей и ошибок в API дает преимущество отечественным компаниям перед действиями кибер злоумышленника. «ПроAPI Структура» ранее поставлялся как модуль в составе платформы «Вебмониторэкс», теперь его можно пропилотировать и внедрить отдельно. Этот продукт обеспечит наблюдаемость всех API, имеющихся в инфраструктуре и их отображение в виде OpenAPI спецификации на основании анализа трафика на эндпоинты. С помощью этого продукта можно: Определить публичные и внутренние API Узнать про API, через которые передаётся чувствительная информация, например, персональные данные Отфильтровать атакуемые эндпойнты Отследить изменения в структуре API в любое время Получить исчерпывающий список вредоносных запросов, направленных на конкретный эндпойнт Сформировать структуру в формате OpenAPI v3 и скачать ее Настроить правила межсетевого экрана — продукта «ПроAPI Защита» Загрузить файл спецификации OAS и сравнить данные в нем с фактически трафиком Выявлять теневые (shadow) API, неиспользуемые (orphan) API и призрачные (zombie) API Подробнее о продукте «ПроAPI Структура» можно прочитать в документации. Компания «Вебмониторэкс» начала разработку новых продуктов для защиты API Компонент «Обнаружение утечек API» в автоматизированном режиме ищет и блокирует запросы с использованием утекших токенов/секретов. Продукт «ПроAPI Обнаружение утечек» берет на себя выявление и блокировку запросов, содержащих утекший токен. При необходимости IP-адрес, с которого используется утекший токен, можно передать в SIEM систему или добавить в черный список, чтобы заблокировать ему доступ к веб-приложению. С помощью этого компонента можно: Анализировать запросы на предмет утечек токенов/секретов API Предотвращать атаки, блокировать запросы, содержащие утекшие токены/секреты Использовать совместно со средствами мониторинга утечек и предотвращать использования утекших токенов/секретов Автоматизировать блокировки утекших токенов/секретов по средствам взаимодействия с API Продукт «ПроAPI Защита» усиливает защиту API за счет использования позитивной модели безопасности. В рамках нее можно выполнять только входящие и исходящие вызовы, соответствующие предопределенной спецификации API, отклоняя при этом все, что не описано в OAS. С помощью этого продукта можно: Усилить защиту REST API путем проверки запросов на соответствие заявленной спецификации OpenAPI 3.0 Предотвратить утечку чувствительных данных через проверку ответов приложения на соответствие заявленной спецификации Провалидировать JWT-токены в OAuth 2.0 аутентификации Обнаружить Shadow API через логирование запросов ко всем конечным точкам API, которых нет в спецификации, в случае если приложение отвечает 2xx или 5xx кодом Предоставлять информацию о состоянии приложений в балансировщики Дополнительные характеристики: Поддерживает GraphQL Поставляется в виде Docker контейнера Поддерживает OpenAPI 3.0 Поддерживает TLS Не нагружает инфраструктуру Файл со спецификацией монтируется средствами docker или загружается по URL Продукт «ПроAPI Тестирование» выявляет различные виды ошибок и уязвимостей, включая самые сложные, такие как 0-day. С помощью этого продукта можно: Проверять OpenAPI 3.0 спецификации на наличие уязвимостей на основе списка угроз из OWASP Top 10 и OWASP API Top 10 Проверять каждый эндпоинт и параметр из спецификации Проводить тестирования на основе готовой спецификации Обнаруживать 0-day уязвимости Интегироваться в процесс CI/CD или тестирования на стейджинге Использовать продукт в закрытом контуре, без доступа в интернет Гибко настраивать параметры тестирования и преднастоенные профили Увеличивать покрытие и количество сценариев тестирования за счет применения фаззинга параметров и эндпоинтов Писать свои сценарии тестирования Все продукты класса API Security от компании «Вебмониторэкс», включая ПроWAF, можно интегрировать между собой, собирая оптимальный набор инструментов для формирования комплексной защиты веб-приложений и API.CNews