2021年のアプリケーションセキュリティの予測: 攻撃者は、ますますAPI(アプリケーションプログラミングインターフェース)に移行している
トピック: API(アプリケーションプログラミングインターフェース)セキュリティ、2021年のアプリケーションセキュリティの予測
2021年1月26日、Tushar Richabadas
このブログは2021年のアプリケーションセキュリティの予測に関するシリーズの第2の記事です。シリーズ全体は、ここで読むことができます。
(ほぼ)毎年、私はアプリケーションセキュリティの予測を発表しています。このような脅威のうち、3つは今後1年間の最大の問題であると思われます。過去2年間の予測は、クレデンシャルスタッフィング/ATO(アカウント乗っ取り)攻撃、API攻撃、およびサプライチェーン攻撃です。今年の予測はバラクーダが強化した脅威インテリジェンスサービス(Barracuda Advanced Bot Protectionの一部)に基づいています。つまり、結論を伝えるデータが大幅に増加しているということです。
攻撃者は、ますますWebアプリケーションからAPIに移行している
最近、ほとんどのアプリケーションはAPI第一で構築されています。このように構築したアプリケーションは、迅速に開発およびリリースできます。また、SPA(シングルページアプリケーション)など、さらに新しい形態のアプリケーションをモバイルブラウザで動作するように構築し、モバイルアプリをインストールせずに、シミュレーションできます。
2021年までに、企業の3分の1以上はモバイル、Web、会話、およびAR(拡張現実)の開発をサポートするマルチエクスペリエンス開発プラットフォームを導入するでしょう。
Gartner’s API Strategy Maturity Model、2019年10月
このようなアプリケーションで生じる1つの大きなことは実際のアプリケーションがユーザに直接公開されることです。WebアプリケーションとAPIベースのアプリケーションが、どのように動作するかを考えましょう。Webアプリケーションでは、ブラウザが中間者です。ブラウザがアプリケーションと通信すると、アプリケーションは、リクエストに基づいて特定の動作を実行し、ブラウザでユーザに応答します。すべてのビジネスロジックはアプリケーションに隠蔽されており、ほとんどの攻撃はよく知られています。APIベースのアプリケーションでは、ビジネスロジックが直接アプリケーションにあります。アプリケーションは、APIでデータを要求し、エンドクライアントデバイスでビジネスロジックを実行します。攻撃者は、APIトラフィックを傍受すると、バックエンドサーバとロジックを特定し、さまざまなチェックを実行して、セキュリティホールを特定し、システムを攻撃できます。
APIがさらに危険になっている理由は、APIによって、多くの機密情報へのアクセスが直接提供されるという事実です。銀行のAPIによって、SSN(社会保障番号)、国民識別番号、または生年月日へのアクセスが提供される可能性があるため、攻撃者は、適切に保護されていないAPIによって、このような番号を一括して盗み出すことができます。
APIは新しいストアフロントですが、セキュリティは追いついていません。
Forrester、API Insecurity: The Lurking Threat In Your Software、2020年10月
Forresterが正しく述べているとおり、APIは存在しますが、セキュリティは追いついていません。上記は、ほとんどの新しいテクノロジに当てはまります。APIには反復されるパターンが見られます。つまり、レート制限、アクセス制御と権限管理、およびロールベースの制御がないことです。また、何よりも、インターネットでテストされているAPIが公開されていることです。このため、最近、Airtel、Just Dialなどに対する有名な多くのデータ侵害が実行されています。
OWASP API Top 10の台頭
現在、API攻撃はAPIのOWASP Top 10があるほど危険と見なされています。新しいOWASP API Top 10には、長年にわたるWebアプリケーションリストからの有名な攻撃を含んでいます。古い攻撃は依然として新しく、私たちが過去から学んでいないと思われる攻撃もあります。このTop 10では、最大の脅威の一部がマークされており、たとえば、レート制限が大きなものです。レート制限は全体的に問題になっています。たとえば、2年前は、新しい携帯電話をオンボードするT-モバイルのApple APIがありましたが、このAPIにはレート制限がありませんでした。何度でも、特定のユーザのPIN(暗証番号)を特定しようとすることができました。
SQLインジェクションなどのインジェクション攻撃もありますが、このような攻撃は、非常に長い間、Webリストの上位にあり、APIベースのアプリケーションを引き続き標的としています。数年前、Shopifyが適切な権限管理を行わずに、APIを公開した際は、最初の攻撃であるBOLAによって、大きな問題が生じました。Shopifyは、プラットフォームにホスティングされているショップの収益データにアクセスする権限をチェックしなかったため、多くのショップのデータを漏洩することになりました。
つまり、現在、APIを保護する参照フレームを開発者に提供するOWASP API Top 10があることは非常に素晴らしいです。
アプリケーション、インフラストラクチャ、またはユーザに実際に責任がある場合は、APIが非難される可能性があります。
Forrester、API Insecurity: The Lurking Threat In Your Software、2020年10月
上記は特にAPIに当てはまります。開発者は、APIキーなどをGitHubの公開リポジトリで漏洩することになり、APIがハッキングされると、ピカチュウのように驚いた顔をします。
今年は、有名な多くのAPI侵害(シャットダウン前のiOSアプリParlerに対する最近の侵害など)が実行されることが予測されます。
来週は、このシリーズの第3の記事を投稿します。アプリケーションセキュリティの詳細については、バラクーダのエキスパートによる現在のセキュリティトレンド、Webアプリケーションセキュリティ、2021年のテクノロジ予測などに関する有益なパネルディスカッションに参加してください。このウェビナーは、無料であり、オンデマンドで提供されています。
2021 applications security predictions: Bot, API, and supply chain attacks
原文はこちら:
AppSec predictions 2021: Attackers increasingly pivot to APIs
January 26, 2021 Tushar Richabadas
https://blog.barracuda.com/2021/01/26/appsec-predictions-2021-attackers-increasingly-pivot-to-apis/
