RSA – API, le backdoor dedicate della tua organizzazione

Nella fretta di integrarsi, questi portali da computer a computer poco protetti consentono un rapido trasferimento di dati tra i sistemi per arricchire e visualizzare i dati attraverso il tuo tessuto digitale. Ma la parte leggermente difesa può consentire un'enorme aspirazione di dati mediante il reverse engineering dei dettagli dell'API e l'avvio del sifone. Poiché un trasferimento di dati basato su API è così rapido, c'è poco tempo per evitare che accadano rapidamente cose molto brutte.

Qui al Conferenza RSA, diverse sessioni e fornitori hanno cercato di convincerci a capire come tappare questi buchi digitali spesso mal protetti.

Per proteggere le tue API, devi trovare le loro vulnerabilità prima che lo facciano i cattivi. Ancora una volta, gli stessi strumenti sono utilizzati allo stesso modo dall'attaccante e dal difensore. La differenza è che è molto più probabile che tu venga avvisato se la tua app Web presenta un problema di sicurezza rispetto alla tua API pubblica, sebbene quest'ultima possa causare almeno lo stesso danno.

Sebbene vi sia una certa sovrapposizione con i tradizionali test delle applicazioni Web, le API agiscono in modo diverso e si aspettano diverse forme di domanda e risposta presenti nelle applicazioni da macchina a macchina che sono così diffuse in questi giorni.

Ad esempio, le API si aspettano blocchi di dati strutturati che soddisfino alcuni standard interoperabili facilmente digeribili da altri sistemi informatici. Si aspettano anche un'autenticazione di handshake strutturata tra computer o, a volte, una scarsa autenticazione.

Un ripensamento

In una stanza piena di partecipanti RSA con molte API là fuori, quando è stato chiesto a quanti sapevano di averle completamente protette tutte, c'è stato un generale che si è avvicinato alla porta per chiamare il team di sicurezza. Ecco come va.

Sul lato "correggi e verifica mentre lo costruisci" dell'equazione, uno venditore propone di eseguire il test dinamico dell'API durante il ciclo di sviluppo del software prima che qualsiasi cosa venga implementata. Con un elegante contenitore Docker puoi implementare che vede ogni iterazione dell'API su cui i tuoi sviluppatori stanno lavorando e le testa mentre procedi, questo è un buon modo per avere la certezza che non stai inavvertitamente costruendo la migliore backdoor successiva.

In che modo i cattivi trovano le API insicure? Abbastanza spesso solo leggendo la documentazione. Inserito nelle interfacce API standard c'è un file che forma una sorta di servizio di directory, delineando tutti i posti in cui potresti cercare cose segrete. In questo modo, gli scanner possono automatizzare il rilevamento ricorsivo dei dati da assorbire.

Le API non si limitano a confrontarsi con le reti pubbliche: spesso si trovano al centro di un'azienda, scambiando silenziosamente informazioni "affidabili" come le statistiche sui sistemi HVAC per l'edificio, ma offrendo anche opportunità di movimento laterale una volta che i malintenzionati entrano nella tua rete. I fornitori si rendono conto che il loro prodotto è solo una parte del panorama digitale di un'organizzazione e devono essere in grado di integrarsi con gli altri, quindi implementano un'API per dialogare bene con il resto delle tecnologie implementate.

Ciò significa anche che i team di sicurezza interna rivolgono un occhio più naturalmente fidato verso questo tipo di traffico. Ma questo è esattamente il tipo di accesso che gli autori di ransomware vorrebbero ottenere.

Inoltre, poiché al giorno d'oggi sciami di dispositivi IoT sono sparsi in giro per l'azienda, tali dispositivi aprono API per cose come aggiornamenti software, feed di dati e funzioni di reporting ad altri nodi. In questo modo, è possibile ottenere un punto d'appoggio attraverso una vulnerabilità che può consentire ai malintenzionati di iniziare a saltare da un dispositivo all'altro.

La rapida proliferazione di chiamate API da sciami di prodotti aziendali rappresenta un modo completamente nuovo di pensare a ciò che deve essere protetto e ignorare la superficie di attacco molto reale, spesso inosservata, mette vaste porzioni di dati a rischio di essere pompati in camion sul retro, porta anteriore o laterale con poco tempo per notare e meno tempo per rispondere.