ربات‌های بد در API ها می‌آیند! چگونه حملات ربات API را شکست دهیم؟

API‪(Application Programming Interface)‬ یا به عبارت ساده «رابط برنامه‌نویسی اپلیکیشن» یک بلوک ساختمانی واقعی برای برنامه‌های امروزی است که برای ساختن و اتصال برنامه‌ها و وب‌سایت‌ها ضروری است، اما مشکلی که وجود دارد ،این است کهAPI ها به خوبی محافظت نمی‌شوند و به یکی از اهداف اصلی حملات، به‌ویژه حملات ربات تبدیل شده‌اند.

طبق perimeterx،۷۵درصد تلاش‌ها برای ورود از نقطه‌های پایانی APIمخرب هستند، هکر‌ها به‌طور سیستماتیک از ربات‌ها برای تلاش‌های مخرب برای ورود استفاده می‌کنند. چگونه می‌توان API های خود را در برابر ربات‌ها و حملات ربات‌ها محافظت کرد ؟ در ذیل به این موضوع پرداخته شده است.

چرا API ها در معرض خطر حملات ربات هستند؟

API ها به توسعه‌دهندگان این امکان را می‌دهند که با سهولت بیشتری به دارایی‌ها و داده‌ها دسترسی داشته باشند، از آنها استفاده مجدد کرده و آنها را ادغام کنند و چابکی، سرعت و کارایی را در توسعه ایجاد کنند،این امر منجر به وابستگی فزاینده سازمان‌ها به APIها شده است که اکنون بیشتر از گذشته از  APIرا برای کمک به ابتکارات تحول دیجیتال خود استفاده می‌کنند،با این حال، API ها اغلب در معرض خطر حملات سایبری ربات‌ها مانند حملات DoS و DDoS، حملات خراش‌دهی محتوا و قیمت‌گذاری و تصاحب حساب‌ها و غیره هستند.

در سال ۲۰۲۰، ۹۸٪ از سازمان‌ها حملاتی را علیه برنامه‌ها و وب‌سایت‌های خود مشاهده کردند و ۸۲٪ این حملات را حملات سایبری ربات گزارش کردند،چندین سازمان هر ماه با حداقل یک حمله DoS/DDoS یا نوعی از تزریق یا حوادث دستکاری ویژگی مواجه می‌شوند.

چرا خطر حملات سایبری ربات‌ها به APIها بسیار زیاد و رایج است؟

•    40 درصد از سازمان‌ها گزارش دادند که بیش از نیمی از برنامه‌های کاربردی آنها به دلیل وجود APIها در معرض خدمات شخص ثالث یا اینترنت قرار دارند.

•    سازماندهی حملات API مبتنی بر ربات آسان‌تر است زیرا بات‌نت‌ها به‌راحتی برای اجاره در دسترس هستند.

•    روش‌های سنتی تشخیص و پیشگیری مانند محدود کردن نرخ، تشخیص مبتنی بر امضا، پروتکل‌های مسدود کردن و غیره در برابر حملات ربات API بسیار پیچیده نا‌کار‌آمد هستند.

•    مجرمین سایبری در حال اهرم هستند، سازمان‌ها تشخیص بین فعالیت‌های انسان و ربات و بین ربات‌های خوب و بد را دشوار می‌دانند و توانایی آنها را برای محافظت از API در برابر حملات ربات‌ها به شدت محدود می‌کند.

•    درخواست‌های API از مسیر سنتی مرورگر‌ها یا عوامل برنامه بومی عبور نمی‌کنند، آنها به عنوان یک خط لوله مستقیم با دسترسی به منابع و قابلیت‌ها عمل می‌کنند، این باعث می‌شود APIها به اهدافی سود‌آور برای مهاجمان تبدیل شوند.

•    اغلب، توسعه‌دهندگان از قوانین استاندارد/عمومی برای API ها استفاده می‌کنند بدون اینکه منطق کسب و کار را در ذهن داشته باشند، این APIها را آسیب‌پذیر می‌کند که اغلب با استفاده از ربات‌ها برای ایجاد خرابی مورد سوء‌استفاده  قرار می‌گیرند.

چگونه از API های خود در برابر حملات ربات محافظت کنیم؟

۱-جمع‌آوری اطلاعات و ایجاد یک خط پایه از رفتار عادی

برای محافظت موثر از API در برابر ربات‌ها، باید مشخص کرد که چه رفتاری قابل قبول، عادی و چه رفتاری غیر‌عادی است، برای این منظور، راه حل امنیتی باید ترافیک API را رصد کرده و اطلاعات را از طریق اثرانگشت، تحلیل رفتاری، الگوی و اکتشافی، اعتبار‌سنجی گردش‌کار، فید‌های تهدید جهانی، زمان پاسخ شبکه و غیره جمع‌آوری کند، این بینش‌ها باید با فید‌های شهرت داخلی و خارجی ترکیب شوند، یک خط پایه از آنچه رفتار انسان و ربات در نظر گرفته می‌شود و در رفتار ربات‌ها، رفتار خوب و بد را ایجاد کنید.

این فرآیند باید مستمر باشد زیرا چشم‌انداز دیجیتال به‌سرعت در حال تکامل است، مهاجمان دائماً از فناوری پیشرفته استفاده می‌کنند تا اطمینان حاصل کنند که ربات‌ها می‌توانند رفتار انسان را تقلید کنند، باید به‌طور‌مداوم رفتار‌های قابل‌قبول و مخرب را در برابر امنیت API مجدداً تنظیم کرد.

۲-به‌طور‌مداوم درخواست‌های API را نظارت کنید

همه درخواست‌های APIرا بر اساس مدل پایه به‌صورت دانه‌بندی نظارت کنید،فرآیند تشخیص ربات در APIها باید هوشمندانه (با استفاده از هوش مصنوعی خود‌آموز، تجزیه و تحلیل عمیق و اتوماسیون) و انعطاف‌پذیر باشد تا از چابکی، سرعت و دقت در تشخیص فعالیت ربات در زمان واقعی اطمینان حاصل شود، نظارت مستمر و ثبت گزارش به همان اندازه مهم هستند.

۳- تکنیک‌های کاهش فوری ربات بد را به کار بگیرید

برای محافظت از API ها در برابر ربات‌ها، نمی‌توانید با تشخیص بلا‌درنگ متوقف شوید، شما باید بتوانید از دسترسی ربات‌های بد به API ها و دارایی‌های حیاتی که API ها اغلب در معرض دید قرار می‌دهند، جلوگیری کنید، برای این منظور، راه‌حل‌های مدیریت ربات API هوشمند، به‌طور آنی و هوشمندانه در برابر پیچیده‌ترین و مخفی‌ترین ربات‌های بد کار می‌کنند.

ابزار‌های هوشمند مدیریت ربات API تعیین می‌کنند که آیا درخواست‌های API ورودی را بر اساس بینش‌ها و سیگنال‌های بلادرنگ مجاز، مسدود، پرچم‌گذاری یا به چالش بکشند، همراه با یک سیستم مدیریت کاذب جامد، این کمک می‌کند تا مثبت کاذب و منفی کاذب به حداقل برسد، به‌عبارت‌دیگر، آنها به ایجاد اصطکاک برای ربات‌های بد و بازیگران مخرب برای دسترسی به APIها، نه ترافیک قانونی و ربات‌های خوب کمک می‌کنند.

۴- پیاده‌سازی معماری‌های بدون اعتماد

یک معماری با اعتماد صفر اتخاذ کنید که در آن هر کاربر باید هویت خود را اثبات کند و بر اساس نقش‌های خود و تنها تا حدی که برای انجام اقدامات ضروری، لازم است به آنها دسترسی داده شود، مجوز‌ها و امتیازات نا‌محدود و بررسی‌نشده برای امنیت API، به‌ویژه در برابر حملات سایبری ربات‌ها مانند پر‌کردن اعتبار و حملات brute force مضر هستند،کنترل‌های دسترسی قوی و مبتنی بر نقش، سیاست‌های رمز عبور قوی و احراز هویت چند‌عاملی را پیاده‌سازی کنید.

۵- مجموعه قوانین را سفارشی کنید

قواعد خود را بر اساس هوش زمینه‌ای تنظیم کنید تا از سوء‌استفاده ربات‌ها از نقص‌های منطق تجاری و سایر آسیب‌پذیری‌ها در APIها جلوگیری کنید، همچنین، از کارشناسان امنیتی خبره کمک بگیرید تا سیاست‌های امنیتی را به صورت سفارشی بسازید.

نتیجه

برای محافظت موثر از APIها در برابر حملات ربات، از AppTrana’s API Protection ، یک راه حل امنیتی پیشرفته، جامع و مبتنی بر ریسک ویژه API استفاده کنید، از طریق سیاست‌های امنیتی مثبت، ربات‌های خاص API و سیاست‌های کاهش DDoS، امنیت ضد ربات را برای APIهای شما تضمین می‌کند.
 

منبع: فتا از helpnetsecurity