مصاحبه با دان باراهونا (Dan Barahona) از دانشگاه APISec

احراز هویت و مجوزدهی پایه‌های اصلی APIهای مدرن را تشکیل می‌دهند. با این حال، پیاده‌سازی آن‌ها در عمل بسیار پیچیده است. حل این مشکل در سال ۲۰۲۴ به یکی از نگرانی‌های فزاینده برای هر سازمان دیجیتال تبدیل شده است، چرا که افزایش حملات و نفوذهای API باعث هزینه‌های کلان و از دست رفتن شهرت سازمان‌ها می‌شود.

پیش از Platform Summit 2024، ما با برخی از سخنرانان منتخب هماهنگ شدیم تا درباره جلسات پیش‌رو و نقش آن‌ها در جامعه API اطلاعات بیشتری کسب کنیم. یکی از افرادی که نیازی به معرفی ندارد، دان باراهونا است که همراه با همکار خود کوری بال، دانشگاه APISec، APISec|Con و سایر رویدادها را پایه‌گذاری کرده است. او همچنین رئیس بخش رشد در APIsec، شرکتی فعال در زمینه تست امنیت API، می‌باشد.

همان‌طور که گارتنر سال‌ها پیش درباره افزایش حملات API هشدار داده بود، این پیش‌بینی اکنون تحقق یافته است. من با دان درباره برخی از رایج‌ترین آسیب‌پذیری‌ها و نحوه واکنش به آن‌ها صحبت کردم. پاسخ‌های جالب او را در ادامه بخوانید و برای دیدن جزئیات بیشتر، در Platform Summit حضور پیدا کنید.

سلام دان! کمی درباره سابقه خود در امنیت API و فعالیت‌های دانشگاه APISec بگویید.

من از نظر روحی یک مهندسِ عاشق مهندسی هستم. کار خود را به‌عنوان مهندس تصادف در جنرال موتورز آغاز کردم اما پس از ۱۱ سپتامبر به حوزه امنیت سایبری تغییر مسیر دادم. در بیش از ۲۰ سال گذشته در این حوزه فعالیت داشته‌ام. در سال ۲۰۲۰ وارد حوزه امنیت API شدم و به APIsec، استارتاپی متمرکز بر تست خودکار امنیت API، پیوستم. در سال ۲۰۲۲ با کوری بال، نویسنده کتاب Hacking APIs، همکاری کردم و ایده‌ای خلاقانه برای ساخت دوره‌های آنلاین درباره امنیت API داشتیم. این ایده با استقبال روبه‌رو شد و اکنون نزدیک به ۱۰۰,۰۰۰ دانشجو در کلاس‌های رایگان ما ثبت‌نام کرده‌اند. این تجربه بسیار سرگرم‌کننده بوده و سایت ما به تدریج دوره‌های بیشتر، کارگاه‌ها، وبینارها و کنفرانس‌های امنیت API را اضافه کرده است.

چرا فکر می‌کنید APIها در سال ۲۰۲۴ بیشتر هدف حملات سایبری قرار می‌گیرند؟ چه نفوذهایی زنگ خطر را به صدا درآورده‌اند؟

پیش‌بینی گارتنر که حملات API تبدیل به «متداول‌ترین بردار حمله» خواهد شد، درست از آب درآمده است. دلیل آن این است که سازمان‌ها اغلب APIهای خود را نادیده گرفته یا به‌درستی ایمن نکرده‌اند. دلایل متعدد است، اما عمدتاً شامل موارد زیر می‌شود:

• کمبود آگاهی از تهدیدات API

• نیاز به ایمن‌سازی APIها در طول فرآیند توسعه

• نبود ابزارهای قدرتمند برای شناسایی آسیب‌پذیری‌های API

در سال ۲۰۲۴، چند مورد نفوذ بزرگ مشاهده شده است. برای مثال، در Trello، حمله‌کننده‌ای API باز یافت که به او اجازه می‌داد تنها با ارائه یک آدرس ایمیل، داده‌های پروفایل کاربران را استخراج کند. پس از ارسال ۵۰۰ میلیون ایمیل، ۱۵ میلیون حساب کاربری جمع‌آوری شد و در دارک وب به فروش گذاشته شد. در مورد دیگری، کمیسیون ارتباطات فدرال آمریکا (FCC) تحقیقی درباره TracFone (زیرمجموعه Verizon) انجام داد و مشخص شد داده‌های مشترکین از طریق API آسیب‌پذیر افشا شده بود. FCC جریمه ۱۶ میلیون دلاری صادر کرد و الزامات سختگیرانه امنیت API را اجباری نمود.

روندهای نوظهور در آسیب‌پذیری‌ها کدامند؟

اول از همه، نفوذها در APIها دیگر از تکنیک‌های کلاسیک آسیب‌پذیری وب رخ نمی‌دهند. مشاهده نفوذ از طریق SQL Injection، XSS یا buffer overflow تقریباً متوقف شده است. دلیل آن ابزارهای اسکن آسیب‌پذیری است که این مشکلات را شناسایی و برطرف می‌کنند.

حمله‌کنندگان اکنون به دنبال آسیب‌پذیری‌های غیرمعمول API هستند، مانند نقص‌های منطق، شکاف‌های مجوزدهی و دیگر آسیب‌پذیری‌های دشوار شناسایی.

بررسی بیش از ۱۰۰ نفوذ API نشان داد سه بردار حمله برتر که در ۹۰٪ نفوذها مشاهده شده، مطابق OWASP API Security Top 10 هستند:

• API1:2023 – Broken Object Level Authorization: آیا کاربر A می‌تواند به داده‌های کاربر B دسترسی داشته باشد؟

• API2:2023 – Broken Authentication: آیا APIها باز و بدون کنترل هستند؟

• API3:2023 – Broken Object Property Level Authorization: آیا APIها داده‌های حساس را افشا می‌کنند؟

چرخه توسعه چگونه باید به این تهدیدات پاسخ دهد؟

مشکل آسیب‌پذیری‌های منطقی این است که تشخیص حمله‌ها در زمان واقعی تقریباً غیرممکن است؛ زیرا این حملات شبیه ترافیک عادی دیده می‌شوند. بنابراین شناسایی و رفع مشکلات در مرحله توسعه و قبل از تولید حیاتی است.

دو راهکار کلیدی وجود دارد:

1. آموزش: مهندسان توسعه‌دهنده API باید بدانند چگونه تحت حمله هستند تا کد مقاوم تولید کنند. دانشگاه APISec دوره‌های رایگان و باکیفیت برای تیم‌های Dev و Ops ارائه می‌دهد.

2. تست: تست امنیت API باید به‌طور قابل توجهی تقویت شود تا نقص‌های منطقی، شکاف‌های مجوزدهی و نشت داده‌ها قبل از تولید شناسایی شوند. این تست باید خودکار، مستمر و مبتنی بر روش Shift-Left باشد.

تست امنیتی Shift-Left چیست و راهنمایی برای پیاده‌سازی آن

تست Shift-Left اهمیت شناسایی نقص‌ها در اوایل چرخه زندگی برنامه را مورد تأکید قرار می‌دهد. بیشتر آسیب‌پذیری‌های API تنها در کد برنامه قابل رفع هستند، نه در قوانین مانیتورینگ. بنابراین باید APIها پیش از تولید تست شوند و حملات واقعی شبیه‌سازی شوند.

این شبیه‌سازی‌ها باید گسترده و متناسب با هر endpoint انجام شود و نمی‌توان به تست دستی متکی بود، زیرا زمان‌بر و نیازمند تخصص بالا است. خوشبختانه ابزارهای جدید تست امنیت API این امکان را فراهم کرده‌اند.

مزایای هک کردن API خود (White Hat Hacking)

ما در دانشگاه APISec معتقدیم هک کردن API خود اهمیت دارد. اولین دوره ما API Penetration Testing بود، جایی که کوری بال به دانشجویان آموزش می‌دهد چگونه APIهای خود را برای یافتن آسیب‌پذیری هک کنند. این تمرین برای همه تیم‌های امنیت نرم‌افزار ضروری است، زیرا نمی‌توان فرض کرد تمام حملات توسط فایروال مسدود شوند. هکرها هوشمند و مصمم هستند، بنابراین فشار آزمایشی APIها قبل از تولید اهمیت دارد.

صحبت شما در Platform Summit 2024 درباره امنیت API

در این جلسه، من بردارهای حمله خاصی که مجرمان برای بهره‌برداری از شکاف‌ها استفاده می‌کنند را بررسی می‌کنم. همچنین به روش‌ها و استراتژی‌های Shift-Left Testing و نحوه اجرای آن خواهیم پرداخت. با پیشرفت‌های AI، تست API اکنون هوشمندتر و جامع‌تر شده است.

چرا از Platform Summit امسال هیجان‌زده‌اید؟

کنفرانس‌ها همیشه برای من آموزنده و جذاب بوده‌اند و حضور در آن‌ها ضروری است. جلسات احراز هویت و مجوزدهی همیشه مخاطب زیادی دارند، چرا که موضوعی پایه‌ای اما پیچیده است. من به جلسات مرتبط با هوش مصنوعی هم علاقه دارم، هم به عنوان منبع خطر و هم به عنوان ابزار دفاعی. و البته مشتاقم از رستوران مورد علاقه خود در استکهلم دیدن کنم!