WordPress: Top 5 des informations sur la découverte d’API pour les équipes de sécurité

WordPress: Top 5 des informations sur la découverte d'API pour les équipes de sécurité

Dans un rapport de recherche publié plus tôt cette année, Gartner a décrit comment implémenter la découverte d’API comme moyen d’améliorer la gestion et la sécurité des API. Sachant que vous ne pouvez pas protéger ce que vous ne pouvez pas voir, la plupart des professionnels de la sécurité seraient tout à fait d’accord pour dire que la première étape pour créer un programme de gestion et de sécurité des API réussi consiste à découvrir toutes vos API en cours d’utilisation, y compris non gérées et gérées, dans tous vos environnements d’application. .

Les professionnels de la sécurité sont souvent surpris à la fois par le nombre d’API réellement trouvées et par les risques introduits par les erreurs d’API courantes. Suite à mon récent blog Top 5 des pièges de l’authentification des API, le sujet d’aujourd’hui est les cinq informations de découverte d’API issues des engagements récents des clients avec les services financiers, les télécommunications et les organisations de vente au détail Fortune-50.

Insight n°1 : de nombreuses API ne sont tout simplement pas authentifiées

Lorsqu’on vous dit que la maison de votre voisin a été nettoyée par des cambrioleurs parce qu’ils ont laissé leurs portes et fenêtres ouvertes, votre première réaction sera probablement le scepticisme et l’incrédulité. Les portes et fenêtres déverrouillées sont physiquement analogues aux API sans authentification. Dans chaque engagement client de sécurité des API à ce jour, nous trouvons des API non authentifiées ou utilisant des formes d’authentification faibles qui, comme le montrent les nombreuses violations d’API de 2021, permettent aux attaquants délibérés de contourner facilement.

WordPress: Top 5 des informations sur la découverte d'API pour les équipes de sécuritéPendant la découverte des API et pendant la phase de découverte et d’inventaire des API, les équipes de sécurité doivent s’attendre à voir les API avec des lacunes d’authentification comme la découverte la plus courante et elles doivent être prêtes à lancer le processus de correction avec le développement.

Insight #2 : les valeurs de données sensibles ne sont pas masquées

De nombreux professionnels de la cybersécurité espèrent que les API gérant des champs de données sensibles comme les informations de paiement ou de facturation utilisent des pratiques de sécurité ou de confidentialité appropriées. En d’autres termes, ils espèrent que ces API chiffrent ou au moins masquent ces valeurs dans les requêtes et les réponses.

Comme nous le savons, l’espoir n’est pas une bonne stratégie.

Dans presque tous les engagements de sécurité des API à ce jour, nous avons découvert des données sensibles en texte clair dans les demandes ou les réponses et des API gérant des champs sensibles tels que les noms, les adresses, les informations de facturation, les détails de la carte de paiement et d’autres formes de valeurs sensibles à la conformité qui ne sont pas masquées. ni crypté. Les données sensibles exposées dans les transactions API sont une cible très attrayante pour les attaquants. L’idée de découverte pour les professionnels de la sécurité est qu’ils doivent être prêts à trouver des API qui traitent de manière incorrecte les champs sensibles et qu’ils doivent aider le développement à résoudre le problème rapidement.

WordPress: Top 5 des informations sur la découverte d'API pour les équipes de sécurité

Insight n°3 : les développeurs d’API exposent plus d’informations que nécessaire

Une autre surprise de découverte d’API courante pour les professionnels de la sécurité est de voir les API exposer beaucoup plus de données dans les réponses d’API que leurs spécifications ne l’exigeaient. De nombreuses API modernes ont des spécifications correspondantes, souvent écrites dans des formats tels que OpenAPI/Swagger ou RAML, pour partager les détails de la syntaxe de la requête et de la réponse de l’API avec les clients. Les spécifications sont souvent (ou devraient être) soigneusement élaguées par les propriétaires d’API pour inclure uniquement les champs auxquels les clients devraient être autorisés à accéder. Les champs jugés sensibles ou destinés à un usage interne uniquement sont souvent (ou devraient être) exclus des spécifications.

Mais cela n’empêche pas les développeurs d’API d’implémenter une prise en charge dans les API réelles pour répondre avec ces champs supplémentaires. Une raison courante à cela est que les équipes d’assistance peuvent avoir demandé ces valeurs supplémentaires au propriétaire de l’API, car elles peuvent être utiles à des fins de dépannage. Une fois mis en œuvre, l’équipe de support et les attaquants bénéficieront des valeurs renvoyées à tous les clients API valides.

WordPress: Top 5 des informations sur la découverte d'API pour les équipes de sécurité

Dans la figure ci-dessus, la spécification de l’API a été conçue pour exposer uniquement Nom d’utilisateur, carte d’indentité, grouper et Région à retourner dans les réponses de l’API. Mais la phase de découverte de l’API a exposé des champs supplémentaires, y compris certains traitements de données sensibles (comme code d’autorisation ou budget-autorisé) ou exploitable par des attaquants pour une élévation de privilèges (comme est-admin). L’information que les professionnels de la sécurité doivent souligner avec l’équipe de développement est que les attaquants parcourent constamment les API à la recherche de champs cachés afin d’obtenir des privilèges élevés à utiliser ensuite pour le mouvement latéral et le vol de données. La sécurité peut aider le développement à supprimer ou à minimiser les informations exposées pour améliorer la sécurité des API.

Aperçu n°4 : Trouver des API non documentées/ombres

L’un des vecteurs d’attaque courants dans de nombreuses violations de données est l’accès non documenté à un réseau d’entreprise. La phase de découverte des API met en lumière ces API non documentées, cachées ou fantômes, comme on les appelle communément, qui sont utilisées par de vrais clients mais ne sont pas documentées, suivies ou sécurisées.

Le propriétaire de l’API n’a jamais eu l’intention d’exposer une ressource ou une méthode particulière dans les spécifications aux clients, mais les développeurs l’ont implémentée en tant que point de terminaison caché pouvant être utilisé avec d’autres points de terminaison publiés. Ce résultat est un angle mort important qui pourrait être exploité par des attaquants, car ni les propriétaires de l’API ni l’équipe de sécurité ne sont au courant des API.

WordPress: Top 5 des informations sur la découverte d'API pour les équipes de sécurité

Dans la figure ci-dessus, la spécification de l’API indique qu’une méthode GET est publiquement exposée pour le point de terminaison /user/profiles/{profile-id}. Mais la phase de découverte trouve souvent des clients API utilisant une méthode POST sur la même ressource. Cela expose des valeurs internes, modifiables par les clients de l’API mais inconnues du propriétaire de l’API ou des équipes de sécurité.

Les attaquants recherchent constamment des portes dérobées comme celle-ci pour essayer de trouver des points de terminaison ouverts mais qui n’ont jamais été conçus pour l’être. L’idée que les professionnels de la sécurité doivent souligner avec le développement est que ces points de terminaison cachés sont finalement trouvés par les acteurs de la menace qui essaieront ensuite de les utiliser comme porte dérobée à des fins malveillantes.

Insight #5 : L’utilisation d’API suspecte ou inconnue doit être bloquée

La phase de découverte des API comprend la connaissance de la façon dont les API sont utilisées. Les points de terminaison qui gèrent les informations PII ou PCI et permettent souvent l’authentification des utilisateurs, la réinitialisation des mots de passe, les paiements, la facturation et d’autres transactions impliquant l’échange d’informations sensibles sont particulièrement importants. Les professionnels de la sécurité sont souvent surpris lorsque l’on trouve :

  • Utilisation de l’API à partir de pays ou de plages d’adresses IP où ils n’ont aucune opération commerciale
  • Modèles d’utilisation suspects tels que la pulvérisation de mot de passe sur les points de terminaison de connexion
  • L’énumération tente de récupérer de grandes quantités d’informations
  • API sans limitation de débit intégrée

Alors que le développement et le marketing peuvent considérer un trafic accru ou excessif sur une API comme positif, les équipes de sécurité, armées d’une analyse plus détaillée sur l’emplacement et l’organisation, peuvent partager plus d’informations qui justifieront la décision de bloquer le trafic API suspect ou inconnu.

Sommaire

À ce stade, il est important que les professionnels de la sécurité soient prêts à prendre des mesures pour exploiter les résultats de la découverte d’API. Ils doivent mettre en place des politiques pour protéger les API contre les utilisations malveillantes, suspectes ou anormales. S’appuyer sur des systèmes externes en ligne tels que des WAF ou des pare-feu est inefficace. La prochaine question logique est de savoir quelles formes d’actions d’atténuation ou de blocage pourraient être mises en œuvre par les équipes de sécurité pour protéger leurs API. Nous explorerons ce sujet dans un blog de suivi. En attendant, regardez cette brève vidéo API Sentinel :

La publication Top 5 API Discovery Insights for Security Teams est apparue en premier sur Cequence.

*** Ceci est un blog syndiqué Security Bloggers Network de Cequence rédigé par Subbu Iyer. Lisez le message original sur : https://www.cequence.ai/blog/top-5-api-discovery-insights-for-security-teams/

All the CMS Templates You Could Ask For.

WordPress: Top 5 des informations sur la découverte d'API pour les équipes de sécurité

2M+ items from the worlds largest marketplace for CMS Templates, Themes & Design Assets. Whether that's what you need, or you're just after a few Stock Photos - all of it can be found here at Envato Market.



WordPress: Top 5 des informations sur la découverte d'API pour les équipes de sécurité

#Top #des #informations #sur #découverte #dAPI #pour #les #équipes #sécurité