WAAP を使用して API をサイバー脅威から保護する方法

アプリケーション プログラミング インターフェイス (API) は、2 つ以上のプログラムまたはアプリ間のリンクとして機能するために作成されたソフトウェアの一種です。 これらにより、異なるソフトウェア間の通信が可能になったり、他のソフトウェアにサービスが提供されたりすることができます。 通常、API 仕様と呼ばれる詳細なドキュメントが付属しており、API 仕様と呼ばれる、API が対象とするソフトウェア間の接続の使用方法や構築方法の詳細が記載されています。

興味深いことに、この一見平凡なソフトウェアもサイバー攻撃の対象となっています。 API はソフトウェア統合とソフトウェア サプライ チェーンにおいて重要な役割を果たしているため、攻撃者は API を標的にしています。 特に API 開発者がセキュリティ慣行に対して無頓着すぎる場合、機密データや機能が漏洩する可能性があります。 API 攻撃は、データの盗難、大量のデータの損失または破損、サービスの中断を引き起こす可能性があります。

API 攻撃対象領域に関する最近のレポートでは、ほとんどの組織が API を定期的に更新または変更しているため、API 攻撃対象領域を保護することが困難であることが明らかになりました。 通常、ソフトウェアの更新や変更は推奨されますが、API に関しては、これらの変更はより多くのリスクを生み出す傾向があります。 そのため、API に対する脅威に対処するための信頼できるソリューションを用意することが重要です。

WAAPの台頭

API を保護する最良の方法の 1 つは、Web アプリケーションと API 保護 (WAAP) を使用することです。 名前が示すように、 WAAP は API と Web アプリケーションを保護することを特に目的としています。 これは通常、API や Web アプリケーションに迫るさまざまな脅威に対処するさまざまなセキュリティ テクノロジとツールを組み合わせたものです。 言い換えれば、これは特定のセキュリティ テクノロジではなく、次世代 Web アプリケーション ファイアウォール、脅威インテリジェンス、ボット管理などのさまざまなツールと戦略を統合したものです。

WAAP は、 OWASP トップ 10リストに含まれる攻撃を含む複数の攻撃に対処するように設計されています。 これは、データ検証およびサニタイズ メカニズムの実装に失敗した API をターゲットとするインジェクション攻撃や、動的クエリで悪意のあるデータを許可する SQL インジェクションの脆弱性を持つ API を標的とする攻撃に対処します。 さらに、WAAP は、クレデンシャル スタッフィング、スクレイピング、スパム送信などの API 悪用や、API 機能を妨害し、不正なデータやリソースへのアクセスを促進する悪意のあるコードを実行するその他の攻撃に対抗します。

従来のサイバー防御だけでは不十分なのでしょうか?

API を狙ったさまざまなサイバー攻撃が存在します。 これらには、DDoS、認証ハイジャック、クロスサイト スクリプティングまたは XSS、SQL インジェクション、資格情報スタッフィング、アプリの悪用、中間者攻撃が含まれます。 特に、これらの攻撃に対処するために設計された既存のソリューションがすでに存在しているため、DDoS や XSS を対象としたセキュリティ制御がすでに導入されている場合、WAAP は本当に必要なのでしょうか?

API 保護専用のセキュリティ ツールを使用する必要がある場合があります。 多くの場合、API のセキュリティは不十分です。 敵対的な行為から API を守ることにそれほど注意を払っている組織は多くありません。 たとえば、多くの API 開発者は、プロジェクトの完了を促進し、オーバーヘッドを最小限に抑えるために (暗号化された HTTPS の代わりに) HTTP を使用しています。 同様に、認証および認可メカニズムは、ほとんどの API ではまれです。

特定の攻撃に対するセキュリティ制御は、特に API が認識できない場合、必要な保護を提供できない可能性があります。 前述したように、多くの組織は API を頻繁に変更する傾向があるため、更新または変更された API をセキュリティ管理の監視下に置くための積極的な取り組みが行われない限り、または徹底的なセキュリティ可視化スキャンが実行されない限り、組織は一時的に全体的なセキュリティの可視性から外れてしまいます。 。

また、脅威シグネチャを通じて攻撃を検出するように設計された従来のセキュリティ制御も、以前ほど効果的ではなくなりました。 脅威は継続的に進化するため、攻撃において新しい形態やアプローチを採用すると、検出を回避する可能性があります。 同様に、ポートベースのブロックは、最新の脅威、特に正規のユーザーが使用するのと同じポートとプロトコルを使用する脅威に対してはほとんど機能しません。

さらに、従来の防御は通常、暗号化されたトラフィックを検査しません。 多くの API は HTTPS プロトコルを使用しませんが、暗号化されたデータ送信を使用する API もあります。 これにより、API を介して交換される悪意のあるコードやコンテンツを検出することが困難になります。

WAAP は、これらのセキュリティの弱点を補うように設計されています。 TLS 接続を検査して機密データを検査すると同時に、暗号化によって隠蔽されている潜在的に有害なコンテンツや悪意のあるコードを検出できます。 暗号化されたデータ交換に規則性があることを保証するものではありません。

WAAP は API をどのように保護しますか?

前述したように、WAAP はさまざまなセキュリティ テクノロジーと戦略で構成されています。 これらは連携して API 上の脅威に包括的に対抗します。

WAAP 兵器の強力なツールの 1 つは、次世代 Web アプリケーション ファイアウォールです。 アプリケーション層でのさまざまな攻撃から Web アプリケーションと API を監視し、動作分析と AI を使用して異常なトラフィックやアクティビティを検出するように設計されています。 従来の Web アプリケーション ファイアウォールとは異なり、脅威のシグネチャや脅威インテリジェンス ソースからのデータのみに依存しません。 動作パターンを検査して規則性や安全性のベンチマークを確立し、異常、悪意、有害と思われるパターンを区別します。

WAAP におけるもう 1 つの重要なセキュリティ テクノロジは、ランタイム アプリケーション自己保護 (RASP) です。 リアルタイムで動作するように設計されており、実行中のアプリと API を評価して、起こり得る異常や有害なアクティビティを検出します。 RASP は継続的な監視を可能にし、既知の攻撃だけでなくゼロデイ攻撃にも対処するための自動応答を促進します。

また、WAAP は悪意のあるボット管理を採用しています。 ボットを検出し、ボットが悪意のある活動を示したり、有害な機能を示したりした場合に隔離できます。 同時に、WAAP は正規のボットまたは有用なボットを識別し、それらのボットがタスクを完了できるようにします。

DDoS 防御とレート制限は、積極的なサービス拒否攻撃に対処するため、WAAP ソリューションでも同様に重要です。 これらのセキュリティ ソリューションは、攻撃者が API パフォーマンスに影響を与えることを防ぐために、アプリケーション レベルで不正行為も制御します。

さらに、WAAP はマイクロサービスと API を保護できます。 マイクロサービス、アプリ、サーバーレス機能内にセキュリティ メカニズムを埋め込んで、コンテナ化されたワークロードと最新のデータ アーキテクチャを保護できます。 ある意味、WAAP は、Web アプリまたは API 全体の周囲に境界保護を構築するのではなく、個々のマイクロサービスの周囲に「マイクロまたは小さな境界防御」を確立します。

さらに、WAAP はアカウント乗っ取り保護を提供し、サイバー犯罪者がデータ ダンプやパスワード リストから盗んだ資格情報を悪用することを防ぎます。 厳格な認証プロセスを使用して、検証できないアカウントまたは疑わしいアカウントのログインを禁止します。

これらのセキュリティ ツール、戦略、機能、機能のすべてではないにしても、そのほとんどは、現在利用可能な主要な WAAP ソリューションに含まれています。 評判の良いセキュリティ会社の優れた WAAP オプションを使用して API を保護することは、それほど難しいことではありません。

マルチツールおよびマルチ戦略アプローチと API 攻撃の比較

API はさまざまな種類のサイバー攻撃を受けやすいため、複数のセキュリティ ツールと戦略を使用することが合理的です。 これは基本的に、WAAP が Web アプリケーションと API を保護するために行うことです。 攻撃を検出して阻止するために、1 つまたは少数のツールには依存せず、ましてや単一の独自のソリューションには依存しません。 さまざまな Web アプリケーションや API を使用または連携する組織は、全体的なセキュリティ体制の一部として WAAP の導入を検討する必要があります。