Zadbaj o ochronę aplikacji internetowych i interfejsów API w swojej organizacji. Sprawdź nowe rozwiązanie WAAP od Akamai App&API Protector.

Ewolucja WAP w produkt WAAP, czyli nowy App&API Protector od Akamai – ochrona aplikacji i interfejsów API

Aplikacje internetowe i interfejsy API często znajdują się na celowniku cyberprzestępców. Kiedy ataki na aplikacje web i interfejsy API stają się coraz bardziej złożone, konieczna jest konfiguracja zaawansowanych systemów kontroli bezpieczeństwa. Nieocenionym wsparciem jest tutaj WAAP (Web App and API Protection). Co musisz wiedzieć o WAAP oraz ochronie interfejsu API i aplikacji internetowych?

Advatech jako Akamai Select Parner

Advatech jako pierwszy partner w Polsce uzyskał certyfikat Architekta Rozwiązań dla APP & API Protector, który uprawnia do samodzielnego wdrażania rozwiązania oraz pełnego wsparcia przed, w trakcie i po integracji.

Dostarczenie najlepszego doświadczenia cyfrowego często wymaga rozbudowanej i skomplikowanej infrastruktury. Coraz powszechniejsze staje się wykorzystywanie mikroserwisów, rozwiązań serverless, środowisk IaaS czy API. Te nowoczesne i popularne dzisiaj technologie pozwalają na ogromną elastyczność i dostrojenie ich idealnie do naszych potrzeb. Zapewniają też szybkość działania i wysoką dostępność. Nie możemy jednak zapomnieć o drugiej stronie medalu, jaką jest bezpieczeństwo tych aplikacji. Im bardziej skomplikowana aplikacja i infrastruktura, którą ją napędza, tym więcej pojawia się potencjalnych luk bezpieczeństwa i dostępnych wektorów ataków. Coraz trudniejsze dla Administratorów IT i Specjalistów ds. Cyberbezpieczeństwa staje się wspieranie biznesu ze względu na częste zmiany w istniejących aplikacjach, pojawianie się dużej ilości nowych aplikacji lub jej komponentów oraz rozszerzania możliwości API (Application Programming Interface). Cyberprzestępcy natomiast mogą w prosty sposób wykonać ataki na konta użytkowników używając kradzionych danych do logowania (credential stuffing), czy użyć zautomatyzowanych narzędzi do przeprowadzania ataków wykorzystujących najpopularniejsze luki bezpieczeństwa. Atakujący nie musi nawet posiadać własnej infrastruktury, wystarczy, że wykorzysta do tego botnet, którego ceny wahają się w okolicach kilku dolarów za godzinę.

Bezpieczeństwo aplikacji i API – od czego zacząć?

Lata doświadczenia, wiele rozmów z klientami oraz zbierania cennego feedbacku doprowadziło firmę Akamai Technologies do następującej konkluzji:

  • Ochrona przeciwko różnym atakom często wymaga kupna rozwiązań od wielu dostawców.
  • Jeżeli rozwiązania te są trudne do integracji i użytkowania oraz nie współpracują ze sobą, to może to powodować dodatkowe zamieszanie i jednocześnie przyczyniać się do obniżenia świadomości z zakresu bezpieczeństwa.
  • Posiadanie i wdrażanie wielu produktów w firmie naraża biznesy na dodatkowe koszty i zwiększa kompleksowość infrastruktury.
  • Potrzebne jest zatrudnienie większej ilości specjalistów, którzy posiadają wiedzę i doświadczenie pozwalające na wykorzystanie i czerpanie korzyści z danych rozwiązań.

Coraz więcej firm ma świadomość jak ważne dla biznesu jest bezpieczeństwo aplikacji i infrastruktury oraz jak jej niedostępność może zagrozić płynności operacyjnej i tym samym spowodować straty finansowe czy wizerunkowe. Samodzielne rozwiązanie wcześniej wymienionych punktów często nie jest w zasięgu wielu firm.

Od wielu lat Akamai jest znane w branży bezpieczeństwa IT na całym świecie za sprawą bardzo rozbudowanego portfolio produktów z zakresu bezpieczeństwa IT. Holistyczne podejście Akamai do ochrony pozwala na zabezpieczenie nie tylko samej aplikacji, ale również jej komponenty, infrastrukturę oraz samego użytkownika.

Rola i rosnące znaczenie API w biznesie

Stosowanie API w biznesie pozawala m.in. na:

  • Stworzenie ekosystemu w firmie pozwalającego na komunikację ze sobą różnych aplikacji oraz poszczególnych komponentów aplikacji, np. w środowisku mikroserwisowym.
  • Rozbudowę funkcjonalności aplikacji poprzez integrację zewnętrznych rozwiązań.
  • Integrację aplikacji z partnerami w celu usprawnienia procesów.
  • Automatyzację.
  • Ograniczenie wydatków przy udostępnieniu API na zewnątrz, gdzie to partnerzy lub użytkownicy końcowi tworzą rozwiązania oparte na naszym API.
  • Cyfrową transformację i zwiększa konkurencyjność firmy.

Na podstawie ankiety przeprowadzonej przez RapidAPI wśród programistów z różnych środowisk (lata 2019-2020)[1], możemy zauważyć następujące trendy:


  • Wykorzystanie API jest widocznie w każdej branży, nie tylko w firmach technologicznych.
  • Adopcja API jest priorytetem dla firm.

  • Adopcja nowych technologii API jest coraz większa

Dane te korelują z tymi zaobserwowanymi przez Akamai, gdzie w roku 2018 zapytania API reprezentowały 83% ruchu. Oznacza to wzrost ok. 30% rok do roku i szacuje się, że do 2024 roku będzie to już 42 biliony zapytań [2].

Rosnące zagrożenie dla API

Wraz ze wzrostem wykorzystania API wzrasta również ilość przeprowadzanych ataków i tym samym świadomość firm o tym, jak ważna jest ochrona tej części aplikacji.

Już w 2019 roku Gartner ostrzegał, że: „do końca 2022 roku, nadużycia API będą najczęstszym wektorem ataku powodującym naruszenie danych w aplikacjach internetowych przedsiębiorstw [3].

W przywołanym wcześniej raporcie, Gartner podaje, że 40% ataków na aplikacje internetowe jest dokonywanych na API zamiast na interfejs użytkownika i według analityków, do końca 2021 ataki na API będą stanowiły już 90% wszystkich ataków na aplikację internetową.

W przeciągu kilku lat wielokrotnie słyszeliśmy już o głośnych naruszeniach danych z firm takich Jak McDonald’s, aplikacji mobilnych Facebook, Twitter, T-Mobile, Instagram, Amerykańskich organizacji rządowych. Największym naruszeniem był przypadek firmy finansowej Capital One, gdzie jednorazowo doszło do wycieku ponad 100 milionów danych użytkowników. We wszystkich tych przypadkach do naruszenia doszło poprzez słabo zabezpieczone interfejsy API lub punkt API, który omyłkowo został wystawiony na świat, a powinien być tylko do użytku wewnętrznego w ramach interfejsu API.

Pora na zmiany – jak zadbać o bezpieczeństwo API?

Akamai obrało sobie za cel stworzenie rozwiązania dostarczającego jak najlepszą ochronę dla aplikacji internetowej i API, które jest jednocześnie proste w użyciu oraz jak najbardziej zautomatyzowane. Takim produktem jest rozwiązanie WAAP, czyli Akamai App & API Protector. Rozwiązanie to łączy ze sobą główne produkty Akamai, takie jak WAF, mitygacja botów, ochrona API i ochrona przeciwko DDoS w jeden produkt.

U podstawy tego rozwiązania leży Adaptive Security Engine [4], który:

  • Dostarcza silne i wysokiej jakości zabezpieczenia.
  • Zapewnia ochronę aplikacji i API, która nie wpływa negatywnie na użytkowników.
  • Pozwala na duże możliwości konfiguracyjne i automatyzację.
  • Oferuje zerowy lub bardzo niski nakład operacyjny, aby chronić całą aplikację i API niezależnie od skali.

Poznaj elementy składające się na WAAP

Web Application Firewall

Rozpoznaj dwa razy więcej ataków z jednocześnie pięciokrotną redukcją fałszywie dodatnich wyników dzięki wielowymiarowemu adaptacyjnemu silnikowi wykrywającemu zagrożenia. Jest to możliwe dzięki połączeniu wiedzy na temat rodzajów ataków razem z danymi/metadanymi z każdego zapytania do aplikacji internetowej i interfejsów API. Te informacje są korelowane z atakami na innych klientów Akamai, analizą logów z CDN Akamai dzięki uczeniu maszynowemu, informacjami z CSIRT różnych krajów oraz ręcznej analizy trendów i potencjalnych wektorów ataków. Na tej podstawie tworzone są automatyczne reguły, które chronią aplikację i interfejs API, a dzięki automatyzacji są aktualizowane na bieżąco, co upraszcza codzienną pracę i nie wymaga ręcznej analizy, testów bezpieczeństwa i wdrażania przez użytkownika. 92% klientów korzystających z ochrony WAF ma ustawione automatyczne reguły w tryb Deny, czyli ich blokowanie.

Każda z nowych reguł może być automatycznie wdrażana lub może być wstrzymana aż do jej ręcznego potwierdzenia przez pracownika w zależności od indywidualnych potrzeb.

Wszystkie reguły można ręcznie modyfikować i dostrajać.

Odkrywanie i pozytywny model API

Zredukuj powierzchnię potencjalnego ataku na interfejs API dzięki automatycznemu analizowaniu i odkrywaniu znanych, nieznanych i zmieniających się punktów API. Pozwoli Ci to na poznanie dokładnych adresów, definicji i charakterystyki danego API, na uproszczenie ich zabezpieczenia przeciwko DDoS, iniekcjom czy pozyskiwaniu danych użytkowników.

Pozytywny model bezpieczeństwa pozwala na zdefiniowanie charakterystyki danego API (budowy zapytań JSON lub XML), tak aby niepoprawne lub niebezpieczne zapytania zostawały zablokowane od razu przez Akamai i nie trafiały do serwera.

Rozpoznawanie i mitygacja botów

Rozpoznaj boty i zablokuj te złe oraz te, których nie chcesz w swojej aplikacji. Rozwiązanie to skaluje się ze wzrostem Twojej firmy i pozwala na wgląd, jaki wpływ mają boty na Twoją aplikację i biznes. Dzięki zaawansowanej technologii detekcji botów, wglądowi w dużą część światowego ruchu internetowego, Akamai rozpoznaje ponad 1500 znanych botów, którymi możesz zarządzać oraz pozwala na stworzenie własnych definicji botów, które możesz potem monitorować i blokując podejrzane akcje. Wszystkie inne nieznane boty są łączone automatycznie w konkretne botnety. Dzięki temu możesz je zablokować niezależnie od tego z ilu różnych systemów i adresów IP korzysta atakujący.

SiteShield

Chroń serwery i aplikacje w przypadku, gdyby atakujący ominął Akamai i atakował bezpośrednio serwer. W momencie, kiedy ruch do aplikacji nie przechodzi przez platformę Akamai, nie jest możliwe filtrowanie i analiza takiego ruchu. Dlatego, dobrą praktyką jest zablokowanie całego ruchu przychodzącego na serwer i zezwolenie na ruch tylko dla znanych serwerów Akamai.

Ochrona przeciwko DDoS i DoS

Chroń swoją aplikację oraz API przeciwko atakom (D)DoS warstwy 7. Tego typu ataki zostają zablokowane po stronie Akamai, jednocześnie nie narażając Twojej infrastruktury. Ochrona przeciwko DDoS odbywa się na podstawie adresu IP oraz ewentualnie dodatkowo nagłówka User-Agent, co nie spowoduje problemu z dostępem do strony dla prawdziwych użytkowników. Ataki na warstwę sieciową również są automatycznie blokowane.

Rozwiązanie CDN

Każda konfiguracja security posiada rozwiązanie CDN (Dynamic Site Accelerator lub Ion), dzięki któremu możliwe jest zabezpieczenie aplikacji i API jednocześnie przyspieszając ich działanie. Rozwiązanie to również pozwala na odciążenie serwera.

Integracja z produktami SIEM

Wbudowane konektory np. dla Splunka, QRadar, ArcSight pozwalają na integrację rozwiązań SIEM, które uruchomione są we własnej infrastrukturze lub w chmurze.

OpenAPI i Terraform

Akamai w pełni wspiera rozwiązania DevOps oraz automatyzację CI/CD. Dla większości produktów dostępne jest API, z poziomu którego można zarządzać wszystkimi ustawieniami i łączyć je ze swoim istniejącym procesem DevOps-owym, niezależnie czy będziemy to robić skryptami bezpośrednio przez API, używając Akamai CLI czy Terraform.

Narzędzia do analizy i raportowania Dashboardy, powiadomienia

Przy dobrym rozwiązaniu security, ważny jest też wgląd w dane i ruch w celu sprawdzenia jak dobrze radzi sobie dane rozwiązanie. Akamai udostępnia kilka paneli do analizy danych, ruchu, tworzenia ręcznych i automatycznych raportów (audyt bezpieczeństwa) oraz notyfikacji w czasie rzeczywistym w momencie wykrycia zagrożenia lub błędów aplikacji.

Dodatkowe moduły

Prócz stałych elementów, które zawiera App&API Protector istnieje możliwość integracji dodatkowych elementów w zależności od indywidualnych wymagań. Są to rozwiązania:

  • Edge DNS
    Rozwiązanie DNS gwarantujące 100% SLA działające w technologii Anycast, które zapewnia również ochronę przeciwko atakom na same serwery DNS
  • Page Integrity Manager
    Chroni użytkownika przeciwko niebezpiecznym skryptom JavaScript działającym na stronie monitorując ich zachowanie i blokując podejrzane zachowanie
  • Prolexic
    Ochrona przeciwko DDoS aplikacji internetowych i IP w centrach danych, rozwiązaniach chmurowych i we współdzielonych serwerowniach
  • Bot Manager Premier
    Rozbudowa standardowej ochrony przeciwko botom o dodatkowe akcje, kiedy chcielibyśmy, aby bot został spowolniony, otrzymał fałszywe dane
  • Account Protector
    Rozróżnij prawdziwego użytkownika od oszusta na podstawie jego zachowania, reputacji i akcji jakie wykonywał również na innych stronach

Gartner o App & Api Protector

W raporcie Gartnera (niezależna analiza) z 2021 o tytule „Critical Capabilities for Cloud Web Application and API Protection report ” Akamai otrzymał najwyższe notowania dla 3 z 4 kategorii, czyli ochrona API i DevOps (3.60/5), Wysoka Ochrona (3.76/5) oraz Skalowalność Biznesowych Aplikacji Internetowych (3.91/5) [5].


„When you are working on a massively distributed platform and rely on APIs a lot, security is a major problem. So we opted for Akamai edge protection.” Software Analyst, Services Industry, Source: Gartner Peer Insights, July 16, 2021.



Materiał przygotowany przez:

Damian Kuźma

Specjalista ds. Cyberbezpieczeństwa, Advatech sp. z o.o.


[1] https://rapidapi.com/developer-survey/

[2] https://www.akamai.com/newsroom/press-release/state-of-the-internet-security-retail-attacks-and-api-traffic

[3] https://www.gartner.com/en/documents/3956746

[4] https://www.akamai.com/blog/security/the-adaptive-security-engine-a-quantum-leap-forward-for-application

[5] Gartner oraz https://www.akamai.com/newsroom/press-release/akamai-recognized-as-a-leader-in-2021-gartner-magic-quadrant-for-web-application-and-api-protection