امروزه سازمان ها در معرض خطرات حملات بی سابقه علیه API (رابط برنامه نویسی اپلیکیشن) قرار دارند. البته هنوز بسیاری از شرکت ها توجه زیادی به امنیت API و این حملات ندارند و آنها را نمی شناسند.
با این حال، پیش بینی می شود که موضوع امنیت API در سال 2022 بسیاری از تیم های امنیت سایبری را به خود جذب کند.
امروزه، مهاجمان سایبری از API به عنوان یک ابزار جهانی در مراحل اولیه حملات پیچیده چند مرحله ای استفاده می کنند. به محض اینکه مجرمان سایبری راهی برای نفوذ به یک دستگاه یا سرور پیدا می کنند، بلافاصله API های موجود را جستجو و دستکاری می کنند.
به گفته مایک اسپن باوئر، محقق امنیت سایبری در Juniper Networks: مهاجمان از فرصت هایی که API فراهم می کند کاملاً آگاه هستند.
بسیاری از کارشناسان امنیتی معتقدند که API ها مانند یک شمشیر دو لبه هستند. اگرچه API ها نقش مهمی در تسریع تحول دیجیتال دارند، اما سطح حمله به شبکه های کاری امروزی را نیز گسترش می دهند. در زیر نظرات تعدادی از کارشناسان امنیتی شاغل در شرکت های ارائه دهنده سیستم های API امنیتی پیشرفته آورده شده است.
دستکاری – اعمال نفوذ APIآره
APIهای مخرب بخشی از گروه خاصی از حملات به نام LotL یا Living off the Land هستند. مجرمان سایبری در این حملات از ابزارهای از پیش نصب شده برای جلوگیری و جلوگیری از شناسایی استفاده می کنند. بنابراین، APIها به راحتی توجه تیم های امنیتی را به خود جلب نمی کنند.
از سوی دیگر، تصمیم گیرندگان غیر فنی در سازمان ها معمولاً درک جامعی از تاکتیک های LotL ندارند. از سوی دیگر، رویکردهای LotL، خطرات امنیتی بسیار ظریفی هستند و پیامدهای منفی بسیاری دارند. بیش از 100 ابزار ویژه سیستم عامل ویندوزی وجود دارد که برای اجرای کدهای حیاتی جدید سیستم توسط هر کاربری با دسترسی سطح بالا طراحی شده است. مهاجمان سایبری همچنین روش های پیچیده ای را برای دسترسی به این مجوزهای سطح بالا و کنترل کامل ابزارهای داخلی شبکه توسعه داده اند.
ظاهراً مهاجمان در حال حاضر از API به عنوان یک ابزار داخلی استفاده می کنند. API ها روشی برای برقراری ارتباط داده ها بین بخش های مختلف دنیای مجازی هستند و به عنوان مکانیزم های دسترسی نه تنها در سیستم های ویندوز، بلکه در کل اکوسیستم تجارت دیجیتال نقش حیاتی ایفا می کنند.
API ها که عنصر اصلی در اتصال مسیرهای مختلف به یکدیگر هستند و به کاربران اجازه می دهند با نرم افزارهای جدید و جذاب ارتباط برقرار کنند. APIها همچنین به پایگاه های داده مجازی واقع در محیط ابری یا سازمانی دسترسی دارند. علاوه بر این، APIها برای برقراری ارتباط بین کاربران و دارایی های دیجیتال توزیع شده در مراکز داده سازمانی و محیط های ابری طراحی شده اند. معماری های امنیتی سنتی با چنین محیط بسیار پویا و پیچیده ای سازگار نیستند.
امنیت API نیازمند توجه بیشتر و فرآیندهای امنیتی پایدار است که از مزایا و کاربردهای آن کاسته نشود. اسپان باوئر میگوید: «در سالهای اخیر، مهاجمان سایبری از راهحلهای قدرتمند و پیچیده برای شناسایی و بهرهبرداری از آسیبپذیریهای API استفاده کردهاند. بنابراین ما باید از فناوری هوشمند و راه حل های کارآمد برای حفظ امنیت API استفاده کنیم.
اگرچه پیشرفت تیمهای امنیت سایبری آسان نیست، اما گروههای هکر سازمانیافته دائماً برای بهبود و بهرهبرداری از همه APIهای موجود تلاش میکنند.
هکرها با علم به اینکه افزایش سطح امنیت API در کوتاه مدت امکان پذیر نیست، اغلب از API ها به عنوان دروازه هایی برای عبور از شبکه ها، یافتن دارایی های ارزشمند، سرقت داده ها و نصب بدافزار استفاده می کنند.
خطرات در زنجیره تامین
در حال حاضر، فعالیت های مخرب API معمولاً در طی یک عملیات هک چند مرحله ای انجام می شود. به عنوان مثال، دستکاری API یکی از مهمترین مراحل در حمله به شرکت هایی مانند Capital One، Solar Winds، Colonial Pipeline، Kaseya، Microsoft Exchange و غیره است.
Spanbauer می گوید: «API ها نقش بسیار مهمی در فاز اول حملات چند مرحله ای دارند و مهاجمان سایبری نیز از API به عنوان یک راه بسیار قدرتمند برای آلوده کردن استفاده می کنند. مهاجمان می توانند انواع فایل ها یا داده ها را رمزگذاری کنند و پس از نفوذ به سیستم ها، آنها را به صورت آفلاین از طریق API ارسال کنند. آنها همچنین می توانند از فرصت ها برای انتشار آلودگی استفاده کنند».
رابط های برنامه نویسی برنامه (API) به آرامی و به طور مخفیانه به یکی از حلقه های کلیدی در زنجیره حملات سایبری تبدیل می شوند. به عنوان مثال، مایکروسافت اخیراً اعلام کرد که یک گروه هکر چینی به نام Hafnium از چندین آسیبپذیری روز صفر در سرور Exchange برای دسترسی کامل به شبکههای شرکتی سوء استفاده کرده است. اگرچه مایکروسافت یک وصله امنیتی اضطراری برای سرور Exchange منتشر کرده است، بسیاری از کاربران در سراسر جهان هنوز از نسخه آسیب پذیر استفاده می کنند.
طبق تحقیقات و آمار، سرورهای Exchange توسط حدود 30000 شرکت آمریکایی و 60000 شرکت آلمانی که به روز نشده اند هک شده اند. این نفوذها در 10 حمله سازماندهی شده بلافاصله پس از انتشار وصله امنیتی توسط مایکروسافت انجام شد. حملات سایبری در حال اصلاح این اصلاحات امنیتی هستند[۱] و از اطلاعات به دست آمده برای حمله به حداکثر تعداد ممکن سرور Exchange استفاده می کند.
مهاجمان پس از هک موفقیت آمیز سرور Exchange شرکت، API را برای هک بیشتر دستکاری کردند. طبق گزارش کارشناسان امنیت سایبری Cybereason در رابطه با یکی از حملات انجام شده توسط بات نت های Prometheus، مهاجمان سایبری از API های خود برای کنترل چندین ابزار سیستم عامل ویندوز استفاده کردند. با استفاده از چنین تکنیکی، مهاجمان اعتبار کاربری را به سرقت بردند و از آسیبپذیریهای دیگری که پس از نصب یک ارز دیجیتال حذف نشدند، سوء استفاده کردند.
اسپان باوئر گفت: “راه رسیدن به یک حمله API بسیار بزرگ است.” به دلیل تعاملات مختلف کاربر با API با برنامه ها، بسیاری از فعالیت های مخرب آنها به صورت مخفیانه انجام می شود.
معادله را برعکس کنید
مسیر فروشندگان راهکارهای امنیت سایبری روشن است. شرکت ها باید نسبت به API ها آگاهی بیشتری داشته باشند و از سیاست های امنیتی هوشمندانه تری استفاده کنند که برای کاهش سرعت جعل و فعالیت های مخرب طراحی شده است. چارچوبها و ابزارهای امنیتی باید به گونهای پیکربندی شوند که بر همه APIها نظارت داشته باشند و هرگونه فعالیت غیرمجاز روی آنها را شناسایی کنند.
اسپان باوئر می گوید: «ما باید قابلیت های خود را گسترش دهیم و به سازمان ها کمک کنیم تا با این چالش جدید و پیچیده مقابله کنند. امروزه تشخیص اقدامات مخربی که در برنامه ها انجام می شود آسان نیست. بنابراین ما باید از ابزارهای نظارتی پیشرفته و نرم افزارهای تحلیلی پیشرفته استفاده کنیم.» خوشبختانه چنین تغییراتی در حال رخ دادن است. البته رویدادهای امنیت سایبری یک شبه اتفاق نمی افتد و نیاز به عملیات برنامه ریزی شده و مستمر دارد.
گارتنر اخیراً امنیت API را بهعنوان ستون مرکزی معماری امنیتی مرجع خود بهجای افزودنی برای سیستمهای دیگر شناسایی کرده است.
چنین نظریه ای توسط گارتنر، ایجاد یک تخصص جدید در زمینه امنیت سایبری را پیشنهاد می کند. بر این اساس، ارائه دهندگان و ارائه دهندگان راه حل امنیت سایبری بر افزایش امنیت API ها در مراحل توسعه، نصب و استقرار متمرکز هستند.
به گفته اسپان باوئر: “با رشد و توسعه مسیرهای حمله، اقدامات امنیتی برای تضمین و حفظ امنیت API باید تقویت شود. مهاجمان قدرت API را به عنوان یک ابزار حمله می بینند و به رشد و تقویت قابلیت های خود ادامه می دهند. برای مقابله با این روند، ما همچنین فایروالهای نسل بعدی و قابلیتهای امنیت ابری را تقویت خواهیم کرد و از همه ابزارهای موجود برای محافظت از مشتریان خود استفاده خواهیم کرد.»
حفره های امنیتی در API همچنان در حال گسترش هستند. هکرها نیز مانند مدافعان به دنبال استفاده از تمامی ابزارهای موجود خواهند بود. تیم های امنیتی می توانند با طراحی و نصب API های امن تر، این وضعیت را تغییر دهند.
[۱] فرآیند حل یک مسئله که از پاسخ به یک سوال حاصل می شود.
منبع: lastwatchdog