Как обеспечить безопасность API с помощью AI?

API - интерфейсы прикладного программирования, которые выступают в роли мессенджеров между различными программами, - используются миллиардами людей каждый день, обычно они даже не подозревают об этом.

Но за кулисами глобальная инфраструктура API, обеспечивающая работу программ, приложений и систем в Интернете, облаке, на границе, в мобильных устройствах и т. д., вынуждена адаптироваться к эпохе искусственного интеллекта.

Системы искусственного интеллекта используют API для широкого спектра процессов, в том числе в качестве связующего звена между моделью искусственного интеллекта и данными или сервисами, к которым она должна получить доступ. Проще говоря, эффективность API ИИ является основой революции ИИ.

Однако киберпреступники также используют эту новую инновационную технологию для проведения кибератак с использованием искусственного интеллекта.

Techopedia поговорила с экспертами по API о роли API в современную эпоху, о том, как адаптируются разработчики API, и о том, какие новые инструменты и лучшие практики необходимо учитывать разработчикам-лидерам.

API и ИИ: мишень для преступников, которая становится только больше

В отчете CheckPoint Research Shadowed Menace: The Escalation of Web API Cyber Attacks in 2024 говорится, что в 2024 году атаки на API ускорятся, и каждую неделю в течение первого месяца 2024 года атакам на API подвергалась 1 из 4,6 организаций по всему миру.

Эта цифра на 20 % больше, чем в том же месяце 2023 г. Check Point Research делает вывод, что API стали "центром внимания киберзлоумышленников".

Эрик Северингхаус, основатель и генеральный директор Bloomfilter - компании, которая помогает предприятиям повысить эффективность жизненного цикла разработки программного обеспечения, - предупредил об опасности незащищенности API в наше время.

"В мире, где API являются секретным соусом для цифровых инноваций, оставлять их без защиты - все равно что забыть запереть дневник в доме, полном любопытных братьев и сестер.

"Я провел изрядную часть своей жизни, связанной с API и искусственным интеллектом. Если вы по колено в мире технологий, то знаете, что API - это невоспетые герои за кулисами, обеспечивающие слаженную работу всех наших цифровых устройств и сервисов", - говорит Северингхаус.

"Но с великой властью приходит и великая ответственность, особенно в том, что касается безопасности".

Северингхаус объяснил, что API используются повсюду - от погодных приложений для смартфонов до обработки платежей.

"Чем больше мы зависим от API, тем большей целью они становятся".

Дни защиты API вручную ушли в прошлое

Эрик Шваке, директор по стратегии кибербезопасности компании Salt Security - платформы для обеспечения безопасности API - рассказал о том, как трансформируется мир API под влиянием новых технологий.

"Ручной подход к защите API становится практически невозможным, поэтому ИИ и машинное обучение (ML) позволяют командам безопасности быстрее определять риск и уменьшать площадь атак, связанных с увеличением использования API".

Он объяснил, что инструменты безопасности на базе AI-ML важны при рассмотрении вопросов безопасности API "просто из-за масштаба важности API для организаций".

Он также подчеркнул важность API в новой цифровой эпохе.

"API - это жизненно важная составляющая современной цифровой трансформации.

"Они отвечают за все транзакции между приложениями, как частными, так и публичными. Поэтому очень важно не только позаботиться о безопасности API, но и внедрить управление положением API", - говорит Шваке.

Переизбыток API и APP расширяет поверхность цифровых атак и создает риски

В последнем отчете компании Akamai "Состояние Интернета" (Lurking in the Shadows: Attack Trends Shine Light on API Threats) также приводится поразительная статистика: 29 % веб-атак будут направлены на API в течение 12 месяцев до декабря 2023 года.

Рупеш Чокши, старший вице-президент и генеральный менеджер по безопасности приложений компании Akamai, рассказал Techopedia о результатах своего отчета и важности API в наше время.

"Это говорит о том, что API являются объектом внимания киберпреступников. Очевидно, что нам необходимо переключиться на проактивный режим защиты наших API-ландшафтов".

"Мы обнаружили, что предприятия часто имеют более 1000 приложений, чтобы поддерживать инфраструктуру, необходимую для удовлетворения спроса. Поскольку предприятия все чаще используют API для связи с партнерами, поставщиками и клиентами, их расширяющиеся владения API подвергают их риску".

Инновации в области безопасности API AI

Отчет The Postman's 2023 State of the API Report показал, что компании вкладывают значительные средства в API.

92% респондентов заявили, что инвестиции организаций в API увеличатся или останутся на прежнем уровне в течение следующих 12 месяцев.

Руководители компаний были настроены более оптимистично, чем разработчики: 53% из них заявили, что инвестиции в API увеличатся в следующем году, в то время как 44% разработчиков сказали то же самое.

Но в этой постоянно расширяющейся вселенной API сектор сталкивается с проблемой эксплойтов нулевого дня, которые растут по мере увеличения количества выпусков приложений и программного обеспечения. Кроме того, на сектор влияют "теневые API" - API, выпущенные с недостаточной проверкой качества, и "зомбированные API" - устаревшие, но не отключенные - наряду с другими новыми атаками, такими как ИИ-боты, ИИ-инъекции и атаки на аутентификацию.

Естественно, чтобы противостоять атакам ИИ, разработчики API начинают по-новому интегрировать ИИ и машинное обучение.

Шваке из компании Salt Security рассказал Techopedia о внутреннем устройстве своего недавно анонсированного помощника Pepper, основанного на искусственном интеллекте. С помощью Pepper компания предлагает ИИ для расширения возможностей разработчиков и помогает им создавать API с функциями ИИ-помощника.

Разработчики могут задавать Pepper такие вопросы, как "Как добавить новое правило осанки?", и Pepper почти сразу же ответит на них информативными шагами, облегчая трудоемкий процесс поиска в базах знаний (KB). Pepper можно использовать в качестве всезнающего персонального помощника для обеспечения безопасности и соответствия API.

Шваке сказал: "Pepper предоставляет пользователям Salt более простой способ найти полезную информацию о том, как использовать платформу, используя поиск на естественном языке.

"Это отличается от старых KB, где вы искали что-то, а затем должны были пролистать одну или несколько полных статей KB, чтобы найти искомую информацию".

ИИ хвалят за его скорость, потенциал автоматизации, способность устранять человеческие ошибки, возможность поиска в больших базах данных, а также генерировать ответы с быстротой и точностью. Однако Шваке предупреждает, что важно понимать, что, хотя ИИ ускоряет создание API, он также увеличивает пространство для атаки.

"Руководители служб безопасности и разработчики должны разработать политику, обеспечивающую безопасность разработки API, и, как уже говорилось, внедрить стратегии API Posture Governance во всей экосистеме".

Безопасность ИИ API: Лучшие практики и технологии

Северингхаус из Bloomfilter говорит, что ИИ в API имеет решающее значение.

"Традиционные инструменты безопасности просто не успевают за нами: они играют в шашки, а киберпреступники - в шахматы. Внедряя ИИ, мы не просто играем в догонялки - мы стремимся быть на несколько ходов впереди".

"Если вы работаете над API, думайте о безопасности в первую очередь, а не в последнюю. Вплетать средства защиты ИИ в структуру API с первого дня - все равно что строить дом на твердом камне, а не на песке".

Чокши из Akamai отметил, что распознавание образов и анализ данных являются ключом к предотвращению наиболее распространенных уязвимостей API. Эти две области могут быть в значительной степени поддержаны искусственным интеллектом.

"Когда мы защищаем API, мы смотрим не только на сигнатуры, но и на поведение, чтобы выявить нерегулярную активность API, которая может указывать на угрозу", - говорит Чокши.

"Мы также собираем данные в нашем озере данных, чтобы обеспечить анализ закономерностей за длительный период времени для выявления проблем, которые могут быть использованы в будущем".

Чокши объяснил, что инструменты безопасности ИИ могут оказать разработчикам критически важную поддержку с самого начала каждого проекта, чтобы гарантировать, что API будут специально созданы для производства.

"Инструменты безопасности с искусственным интеллектом позволяют разработчикам, командам AppSec и SecOps быстро внедрять инновации без ручных промежуточных действий - от автоматизации тестирования API до целенаправленного устранения последствий".

Недавно Akamai создала технический альянс с Apiiro, чтобы предложить защиту от кода до времени выполнения. Чокши описал технологию простыми словами:

"Если система безопасности API Akamai подает сигнал тревоги на API, платформа Apiiro может автоматически определить точную проблему, вызвавшую тревогу, и связаться с ответственным разработчиком, что позволяет командам сэкономить время на поиск проблемы и ответственного лица".

Практические советы по взлому

Доктор Кэти Пакстон-Феар - хакер API, доктор философии в области кибербезопасности и искусственного интеллекта, а в настоящее время менеджер по техническому маркетингу в Traceable AI, также рассказала Techopedia о безопасности API.

"К сожалению, поскольку API живут на бэкенде, часто разработчики создают API для себя и забывают, что любой может получить к ним доступ, если API доступен онлайн".

По словам доктора Пакстон-Феар, используя средства обеспечения безопасности API, организации меньше полагаются на память разработчиков и могут использовать умные инструменты и методы для поиска недостатков в обеспечении безопасности API.

"Используя ИИ вместо того, чтобы полагаться на умные инструменты и методы, мы можем изучать реальные данные, реальные атаки и реальные данные API и применять извлеченные уроки к новым API. Это все равно что иметь на своей стороне эксперта по безопасности API, который просматривает все данные, проходящие через ваши API".

Доктор Пакстон-Феар отметил, что, хотя все, включая разработчиков, ищут способы повысить производительность с помощью ИИ, необходимо найти баланс между созданием нового поколения программного обеспечения, основанного на ИИ, и безопасностью.

По мнению доктора Пакстон-Фир, основы этического хакинга и инструменты тестирования на проникновение, такие как сканирование уязвимостей, инвентаризация данных и активов, а также знание цифровой архитектуры организации, важнее, чем использование искусственного интеллекта.

"Начните с основ: вы уверены, что знаете свои уязвимости? Знаете ли вы о каждом развертывании API? Знаете ли вы, какие инструменты или библиотеки используют API или нет? Если вы не знаете ответов на эти фундаментальные вопросы (а многие команды их не знают!), нельзя бросаться на AI и новые блестящие технологии - их нужно создавать".

Итоги

Несмотря на стремительное развитие и влияние ИИ, разработчики API по-прежнему могут обеспечить безопасность своих API с помощью традиционных средств защиты API, постоянного мониторинга, правил ИИ и ML, статистики и реагирования в реальном времени, а также более практичных методов, таких как тестирование на проникновение.

По словам Северингхауса, "интеграция искусственного интеллекта в безопасность API - это не просто тенденция, это путь к более безопасному цифровому будущему".

"API находятся в центре большинства современных цифровых преобразований, поэтому крайне важно понимать тенденции развития отрасли и соответствующие сценарии использования, такие как мошенничество с лояльностью, злоупотребления, авторизация и кардинговые атаки", - заключил Чокши.

"Невозможно защититься от того, чего не видишь: Руководители компаний и разработчики должны сосредоточиться на постоянном обнаружении и мониторинге API, понимании всего масштаба активности API и использовании поведенческой аналитики для выявления и смягчения сложных угроз".

По мере трансформации AI API в глобальном масштабе будут появляться новые технологии безопасности API, призванные автоматизировать обеспечение безопасности и соответствия требованиям, а также помочь разработчикам. Безопасность AI API, все чаще подвергающаяся атакам, должна внедрять инновации, смещаться влево и усиливать защиту, чтобы оставаться впереди.