Les interfaces de programmation d’applications (API) sont les le tissu conjonctif de tout ce qui est numérique aujourd’hui et ils jouent un rôle intégral dans les affaires et la génération de revenus. Ils servent de passerelles à la fois pour des informations d’identification personnelle (PII) très sensibles et pour des opérations, telles que l’authentification, l’autorisation, les vérifications de crédit et les flux de paiement, ce qui en fait une cible lucrative pour les attaquants. Par conséquent, les attaquants se donneront beaucoup de mal pour les compromettre.
Les API peuvent être exploitées de nombreuses façons et celles-ci sont bien documentées par le Projet OWASP qui vient de mettre à jour son Les 10 principaux risques liés à la sécurité des API. Le développeur n’a peut-être pas mis en œuvre correctement les mécanismes d’authentification, a permis à l’API de partager trop d’informations ou l’a mal configurée. Mais même si le développeur a suivi la spécification de l’API à la lettre et a déployé une API sécurisée, celle-ci peut toujours être compromise par un abus de logique commerciale, qui voit le traitement légitime de l’API utilisé contre lui-même.
Comportement anormal
Pour cette raison, c’est le comportement de l’attaquant qui le trahit, ce qui signifie que les défenses basées sur les signatures sont impuissantes face aux attaques par API. Ces comportements sont révélés par les tactiques, techniques et procédures (TTP) utilisées pour atteindre les objectifs de l’attaquant. La tactique fait référence au quand, au quoi, au comment de l’attaque et à la stratégie globale, tandis que les techniques sont les méthodes utilisées pour parvenir à ces fins. Ensemble, ces deux éléments révèlent des schémas d’attaque particuliers, tandis que les procédures désignent le processus étape par étape que suit l’attaquant.
Selon le Rapport de protection de l’API 2H 2002Le nombre de TTP uniques est passé de 2 000 en juin à plus de 11 000 en novembre de l’année dernière, les attaquants cherchant à cibler les API et à exploiter les nouvelles API lancées avant la période d’achat des fêtes de fin d’année. C’est à ces moments-là que tu peux vraiment analyser les TTP utilisés et la façon dont les attaquants manipulent le trafic réseau. Les attaquants peaufinent ou modifient leurs charges utiles, générant ainsi des empreintes d’attaque uniques.
Mais comment faire la différence entre un attaquant et un trafic web légitime ? Après tout, la demande de biens et de services pendant les périodes de vacances spécifiques augmente toujours, ce qui entraîne d’énormes augmentations du trafic.
C’est un problème parce que cette entropie ou ce caractère aléatoire fournit aux attaquants le moyen idéal de masquer leurs activités et d’échapper à la détection. Ils contribueront bien sûr à ce niveau d’entropie, mais peuvent se cacher à l’intérieur, échappant ainsi aux pare-feu autonomes et aux logiciels de détection d’anomalies volumétriques.
Traquer les TTP
L’examen du nombre de TTP sur la chronologie d’une attaque peut révéler le volume et la propagation des charges utiles d’attaque liées à la sécurité des applications, de l’infrastructure et des API.
Le Cequence L’équipe de recherche sur les menaces de Cequence a surveillé le trafic Web au cours des trois derniers mois de l’année dernière, lorsque l’entropie était élevée, et a révélé un pic important de TTP uniques, cinq fois plus élevé que la normale. Ces TTP utilisent la rotation d’empreintes digitales, qui permet à l’attaquant de modifier légèrement chaque demande faite à l’API afin de rendre plus difficile la détection de son activité.
Le trafic automatisé ou bot a également augmenté, comme le révèle la détection de volumes plus importants de trafic anormal, en hausse de 220 % . Les volumes de trafic plus élevés soutenus ont également sauté, c’est-à-dire le trafic au-dessus des seuils attendus pendant une période prolongée, a également bondi de 550%. L’absence d’entropie, c’est-à-dire de caractère aléatoire, est un autre élément clé : le comportement du trafic est trop cohérent et trop parfait pour être généré par un être humain, ce qui représente une augmentation de 450 %.
Une analyse plus poussée des TTP uniques a révélé qu’elles avaient trois objectifs finaux très spécifiques : la prise de contrôle de comptes, le scraping comme forme de reconnaissance et pour faciliter l’exfiltration de données, et la recherche de failles dans la logique commerciale qui pourraient être utilisées pour commettre des fraudes dans le commerce de détail, la banque ou les télécommunications.
En plus des TTP uniques, on a constaté une augmentation des TTP habituelles auxquelles on peut s’attendre, telles que l’agrégation de comptes (la collecte et la validation de plusieurs identifiants de comptes), la réputation de la couche 3, la rotation de la couche 3, la rotation de session (le remplacement d’une session utilisateur par une nouvelle et un nouvel identifiant) et le credential stuffing (des identifiants volés utilisés contre une API de connexion ou d’enregistrement cible).
Principaux enseignements
Qu’est-ce que cette activité nous apprend ? Elle révèle que les modèles d’attaque ne sont pas ad hoc. Il y a une nette augmentation de l’activité, mais il ne s’agit pas de jeter de la boue sur le mur et de voir ce qui colle ; ces attaques sont organisées, en grande partie automatisées, et les attaques passent par différentes techniques à la fois pour échapper à la détection et pour atteindre leur objectif final.
Ces objectifs finaux sont pour la plupart motivés par des raisons financières, qu’il s’agisse d’exfiltrer des données pour les utiliser ensuite dans d’autres attaques ou pour commettre des fraudes. Mais les attaques à forte volumétrie peuvent aussi avoir pour but de détourner ou d’épuiser les ressources et/ou de provoquer des pannes.
Enfin, le trafic réseau est en pleine évolution pendant ces périodes de pointe, ce qui, ajouté à l’entropie des utilisateurs, rend très difficile la surveillance, la détection et la réponse à ces types d’attaques. Les pare-feu d’application Web (WAF) sont impuissants et les solutions de trafic anormal peinent à déterminer ce qui est authentique et ce qui est une activité malveillante. Toute forme d’analyse et de défense contre les attaques doit être basée sur le comportement, mais elle doit aussi être capable d’identifier et de prendre les empreintes de ces TTP.
L’augmentation des TTP uniques et traditionnels souligne l’importance pour les organisations d’adopter une approche globale et proactive de la sécurité de leur API.
En procédant régulièrement à des évaluations de la surface des menaces de l’API, à la détection des anomalies des spécifications de l’API et à la mise en œuvre de mesures de détection et d’atténuation des menaces automatisées (bot) en temps réel, les entreprises peuvent empêcher les attaques de progresser au-delà des étapes de reconnaissance, limitant ainsi l’impact de toute interruption potentielle de l’activité et de tout événement de sécurité, quelle que soit la période de l’année.
Andy Mills est vice-président pour l’EMEA chez Cequence Security Image : Champpixs
Tu pourrais aussi lire ce qui suit :
Les API parfaitement codées peuvent être vulnérables aux attaques:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
