Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
9 outils de sécurité API en première ligne de la cybersécurité
Par John Breeden II
OSC |
Les interfaces de programmation d'applications (API) sont devenues un élément essentiel de la mise en réseau, des programmes, des applications, des appareils et de presque tout le reste du paysage informatique. Cela est particulièrement vrai pour le cloud et l'informatique mobile, qui ne pourraient probablement pas exister sous leur forme actuelle sans les API qui maintiennent tout ensemble ou gèrent une grande partie des fonctionnalités backend.
En raison de leur fiabilité et de leur simplicité, les API sont devenues omniprésentes dans le paysage informatique. La plupart des organisations ne savent probablement même pas combien d'API fonctionnent dans leurs réseaux, en particulier dans leurs clouds. Il y a probablement des milliers d'API travaillant dans de grandes entreprises et même des organisations plus petites s'appuient probablement sur plus d'API qu'elles ne le pensent.
Aussi utiles que soient devenues les API, leur utilisation a également créé un danger. Étant donné qu'il existe peu de normes pour la création d'API et que beaucoup sont uniques, il n'est pas rare que les API contiennent des vulnérabilités exploitables. Les mauvais acteurs ont découvert qu'il est souvent beaucoup plus facile d'attaquer une API que de s'attaquer directement à un programme, une base de données, une application ou un réseau. Une fois compromis, il n'est pas difficile de modifier la fonctionnalité d'une API, ce qui en fait une sorte d'initié renégat qui fonctionne pour le pirate.
L'autre grand danger avec les API est qu'elles sont presque toujours sur-autorisées. Les programmeurs leur accordent des autorisations élevées afin qu'ils puissent exécuter leurs fonctions sans interruption. Mais si un attaquant compromet une API, il peut alors utiliser ces autorisations élevées pour faire autre chose, comme s'il avait compromis le compte d'un administrateur humain. C'est devenu un tel problème que les recherches d'Akamai indiquent que les attaques contre les API représentent 75 % de toutes les tentatives de vol d'informations d'identification dans le monde. Les attaquants savent que les API sont à la fois vulnérables et omniprésentes et s'en prennent à elles.
Compte tenu de la gravité du problème du piratage des API, il n'est pas surprenant que le nombre d'outils de sécurité des API ait également augmenté ces dernières années. Il existe des dizaines d'outils commerciaux conçus pour protéger les API, ainsi que des centaines d'outils gratuits ou open source. Beaucoup partagent des similitudes et des fonctionnalités avec d'autres types de programmes de cybersécurité, mais sont plutôt configurés spécifiquement pour la nature unique des API.
En général, les outils de sécurité des API appartiennent à plusieurs catégories, bien que certains proposent des plates-formes complètes qui tentent de tout faire en même temps. Le type d'outils de sécurité d'API le plus populaire de nos jours est celui qui protège les API des requêtes malveillantes, un peu comme un pare-feu d'API. D'autres outils sont conçus pour accéder et évaluer dynamiquement une API spécifique afin de rechercher des vulnérabilités afin que son code puisse être renforcé contre les attaques. D'autres encore analysent simplement un environnement afin qu'une organisation puisse découvrir combien d'API existent au sein de son réseau, avec l'idée que personne ne peut protéger ce qu'il ne sait pas.
Essayer de compiler une liste complète des outils de cybersécurité API serait difficile compte tenu de leur nombre. Mais en étudiant à la fois les avis des utilisateurs et des commerciaux, plusieurs outils commencent à se démarquer. Voici quelques-uns des meilleurs outils disponibles pour renforcer la sécurité des API avec de brèves descriptions de leurs points forts et de leurs fonctions. Des centaines ne figurent pas sur cette liste, mais cela devrait fournir un bon aperçu de ce qui est disponible et possible lorsque vous essayez de sécuriser les API contre le paysage des menaces de plus en plus hostile d'aujourd'hui.
Voici neuf des meilleurs outils de sécurité disponibles actuellement :
L'un des outils de sécurité API les plus populaires, APIsec est presque entièrement automatisé, donc parfait pour les organisations qui ne font que commencer à améliorer leur sécurité API. Dans un environnement de production où les API sont déjà établies, APIsec les analysera et les testera contre les vulnérabilités courantes telles que les attaques par injection de script. Mais il effectuera également des tests de résistance complets sur chaque API pour s'assurer qu'elle est renforcée contre des éléments tels que les attaques de processus métier qui ne sont pas si faciles à détecter. Si des problèmes sont détectés, il les signalera avec des résultats détaillés pour les analystes de sécurité.
APIsec peut également être utilisé de manière proactive par les développeurs lors de la création d'API. De cette façon, toutes les vulnérabilités peuvent être supprimées avant la mise en ligne d'une API, APIsec continuant de surveiller les choses après le déploiement de l'API, juste au cas où.
Astra est un outil gratuit, bien que cela signifie que le support est limité et que les utilisateurs devront le récupérer sur GitHub et l'installer dans leur environnement. Cela dit, l'outil a la réputation d'aider à gérer et à protéger un type d'API très spécifique.
Astra se concentre principalement sur les API REST (Representational State Transfer), qui peuvent être extrêmement difficiles à tester et à sécuriser car elles changent fréquemment. Astra aide en s'intégrant dans le pipeline d'intégration continue et de livraison continue (CI/CD) d'une organisation. Il garantit que les vulnérabilités les plus courantes qui peuvent affecter les API ne reviennent pas dans les API REST supposées sûres car elles changent constamment dans le cadre de leur fonction.
AppKnox est connu pour être très favorable à sa base d'utilisateurs. La plate-forme a une interface très facile à utiliser pour commencer, mais la société offre également beaucoup d'aide lors de son déploiement et de son utilisation. AppKnox a fait son chemin dans de nombreuses organisations avec de petites équipes de sécurité, car il peut prendre en charge l'ajout de la sécurité des API avec un minimum d'effort.
Une fois installé, AppKnox testera les API pour les problèmes courants tels que les vulnérabilités des requêtes HTTP, les ouvertures pour les injections SQL et bien d'autres. Il analyse également toutes les ressources qui se connectent aux API pour s'assurer qu'elles ne peuvent pas devenir un chemin d'attaque valide pour les pirates.
La plate-forme Cequence Unified API Protection est conçue pour les organisations déployant des environnements d'entreprise qui peuvent avoir besoin de gérer des milliards de requêtes adressées à leurs API chaque jour. La plate-forme de protection évolutive détecte d'abord toutes les API au sein de l'organisation, puis les classe dans un inventaire complet. Par la suite, les API peuvent recevoir des tests généraux de vulnérabilités ou les équipes de sécurité peuvent définir des tests spécifiques qui doivent être effectués sur des groupes d'API. Ceci est extrêmement utile non seulement pour sécuriser les API, mais également pour aider à se conformer aux réglementations gouvernementales ou industrielles qui nécessitent la mise en place de protections spécifiques.
La capacité de mettre en place des protections automatiques ou des actions à entreprendre en réponse à une attaque ou à une interaction suspecte avec une API contribue également à l'orientation entreprise de Cequence. Étant donné que Cequence gère cela lui-même, il n'est pas nécessaire d'inclure des dispositifs de sécurité externes tels que des pare-feu pour activer cette protection. Cela évite la charge de ces périphériques externes et accélère le temps de réponse, de sorte qu'une API est presque instantanément protégée contre les menaces réelles.
Data Theorem API Secure peut inventorier chaque API qui existe au sein d'un réseau, d'un cloud, d'une application ou de toute autre cible. Cela en fait un excellent choix pour les organisations qui souhaitent renforcer la sécurité de leur API, mais ne savent pas par où commencer ni même combien d'API elles utilisent. Et API Secure maintient également l'inventaire des API à jour, trouvant rapidement toutes les nouvelles API au fur et à mesure de leur déploiement.
Une fois localisé, API Secure agira comme un pirate informatique et testera chaque API pour détecter les vulnérabilités. Il peut ensuite signaler cette API pour qu'un humain examine ou corrige automatiquement de nombreuses vulnérabilités par lui-même.
La plate-forme de protection des API de Salt Security est extrêmement avancée et a été l'une des premières à utiliser pleinement l'intelligence artificielle et l'apprentissage automatique pour détecter et arrêter les menaces contre les API. Pour ce faire, la plate-forme collecte le trafic des API sur l'ensemble d'un réseau, analyse les appels passés aux API et ce qu'elles font en réponse. Il compare ensuite ce qu'il voit localement aux données de trafic stockées dans un moteur de Big Data basé sur le cloud. Il peut ensuite arrêter la plupart des attaques et mettre en évidence les activités suspectes, alerter les équipes de sécurité humaine ou prendre des mesures en fonction de ses paramètres.
La plate-forme continue d'apprendre au fil du temps et plus elle examine un réseau d'API, plus elle devient précise pour déterminer quel est le comportement acceptable sur ce réseau spécifique.
Noname Security a développé une bonne réputation auprès des grandes entreprises prenant en charge des environnements d'entreprise énormes. Il serait utilisé par 20% des entreprises du Fortune 500. Il a été conçu pour aller au-delà de la protection standard de vérification des vulnérabilités des API offerte par certaines plates-formes en analysant les données de trafic passant par les API. Il exploite ensuite l'IA et l'apprentissage automatique pour rechercher les activités malveillantes.
Noname Security prend en charge l'utilisation d'API communes et non standard dans ses tests. Par exemple, il prend entièrement en charge les API HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC et gRPC. À l'aide des données de trafic, il peut même trouver, cataloguer et protéger les API non gérées par une passerelle API ou les API locales qui ne suivent aucun protocole standard.
En se concentrant sur l'environnement de développement, Smartbear ReadyAPI peut être utilisé non seulement pour tester les API pour les vulnérabilités de sécurité pendant leur construction, mais également pour surveiller leurs performances. De cette façon, les développeurs peuvent, par exemple, voir ce qui se passe si une API rencontre un très grand volume de données, ce qui pourrait également être un problème de sécurité.
Dans le cadre de ces tests, les utilisateurs peuvent configurer les types de trafic à envoyer aux API en cours de développement, ou ReadyAPI peut capturer le trafic réel du réseau de l'organisation, puis l'utiliser pour un test très réaliste. De manière native, ReadyAPI prend en charge Git, Docker, Jenkins, Azure DevOps, TeamCity, etc.
Bien que la plate-forme Wallarm End-to-End API Security ait été conçue pour fonctionner dans un environnement cloud natif où résident de nombreuses API, elle peut également fonctionner pour sécuriser les API qui existent dans les équipements sur site. Il est conçu pour protéger contre tout type de menace contre une API, de celles figurant sur la liste des principales vulnérabilités de l'Open Web Application Security Project (OWASP) à des menaces spécifiques comme le credential stuffing qui sont souvent faites contre les API.
Wallarm peut également aider à atténuer les attaques par déni de service distribué (DDOS) et les incursions de reconnaissance, ou les attaques directes, effectuées par des bots. Étant donné que la majeure partie du trafic sur Internet aujourd'hui est composée de bots, c'est une fonctionnalité intéressante à avoir dans un outil de sécurité.
La plate-forme fournit également un aperçu approfondi et une vue d'ensemble de l'ensemble du portefeuille d'API d'une organisation en fonction du trafic des utilisateurs, ce qui peut donner un aperçu non seulement de la sécurité, mais également de la manière dont les API sont utilisées par l'organisation et des domaines qui doivent être améliorés. Ce n'est pas l'objectif principal de la plate-forme Wallarm, mais les rapports détaillés seraient certainement utiles dans d'autres domaines en dehors de la sécurité en tant que bonus pour l'utilisation de la plate-forme.
John Breeden II est un journaliste et critique primé avec plus de 20 ans d'expérience dans le domaine de la technologie. Il est le PDG du Tech Writers Bureau, un groupe qui crée du contenu technologique de leadership éclairé pour les organisations de toutes tailles.
Copyright © 2023 IDG Communications, Inc.
Ensuite, lisez ceciPrécédent: Oestrogène/anti cyclique