Services CIS tels que l'atténuation DDoS et le pare-feu d'application Web pour la protection de la passerelle API et répondre à tout autre défi de sécurité

Aperçu

Le fondement des transitions numériques de diverses entreprises est l’interface programmable d’application (API). L'importance des API sur le lieu de travail ne cesse de croître, qu'elles soient utilisées pour créer des applications dans de nouvelles architectures de microservices et de serveurs cloud natives, pour automatiser les activités interentreprises ou pour servir de back-end pour les applications mobiles. Malheureusement, les cybercriminels sont conscients de cette évolution vers un monde centré sur les API et développent de nouvelles méthodes d’attaque à un rythme égal au rythme d’expansion des API. Par conséquent, les entreprises doivent de toute urgence mettre en œuvre de nouvelles mesures de sécurité pour sécuriser leurs API et autres actifs numériques. La combinaison d'une passerelle API avec un système de gestion des accès API, qui offre un point de contrôle centralisé avec des politiques soigneusement surveillées et une gestion des accès contextuelle, est la méthode idéale pour sécuriser vos API. Les organisations seront en mesure de comprendre ses risques spécifiques, d'identifier les failles de sécurité et d'identifier les menaces si une solution de sécurité des applications Web et des API est intégrée à la planification, à l'exécution ou à l'optimisation de la stratégie de sécurité des informations.

Types de risques de sécurité des applications Web

En fonction des objectifs de l'attaquant, du type de travail effectué par l'organisation ciblée et des failles de sécurité spécifiques de l'application, différents types d'attaques peuvent être utilisés contre les applications Web.

• Défauts du jour zéro : Ces failles n'ont pas encore été découvertes par un développeur d'applications et aucun correctif n'est encore disponible. Les attaques visent à exploiter ces failles le plus tôt possible, puis tentent fréquemment de passer à travers les défenses des fournisseurs de sécurité.
• Injection SQL (SQi) : grâce à l'injection SQL (SQi), un attaquant peut exploiter des failles dans la manière dont une base de données traite les requêtes de recherche. Les attaquants peuvent modifier ou ajouter des autorisations utilisateur, accéder à des informations non autorisées, manipuler ou supprimer des données sensibles, etc. à l'aide de SQi.

En juillet 2022, un grave problème d'injection SQL affectant les produits GMS (Global Management System) et Analytics On-Prem de SonicWall a récemment été rendu public dans un avis de sécurité. Le bug a une note critique de 9,4 et est suivi comme CVE-2022-22280. En raison de la complexité d'attaque minime de cette vulnérabilité et de son énorme potentiel de préjudice, toute personne ayant une compréhension de base de l'injection SQL peut l'exploiter. Aucune interaction ou authentification de l'utilisateur n'est nécessaire pour utiliser CVE-2022-22280 à partir du réseau.

• Cross-site scripting (XSS) : il s'agit d'une faille de sécurité qui permet à un attaquant d'insérer des scripts côté client dans une page Web pour obtenir un accès direct à des informations cruciales, de se faire passer pour l'utilisateur ou de tromper l'utilisateur en lui faisant divulguer des informations cruciales.
• Attaques par déni de service (DoS) et par déni de service distribué (DDoS) : les attaquants peuvent utiliser plusieurs vecteurs différents pour inonder un serveur ciblé ou l'infrastructure qui l'entoure avec différents types de trafic d'attaque. Un serveur commence à agir lentement et finit par refuser de répondre aux demandes entrantes d'utilisateurs authentiques lorsqu'il ne peut plus gérer efficacement les demandes entrantes.

Selon le « Threat Intelligence Report 2023 » de Check Point, une seule entreprise indienne a été confrontée à 2 146 cyberattaques en moyenne par semaine au cours des six derniers mois, contre 1 239 attaques par organisation à l'échelle internationale. Avec le déploiement plus rapide des plateformes, applications et environnements numériques pour le travail à distance provoqué par la COVID-19, les attaques DDoS se sont multipliées à l’échelle mondiale. Les crises géopolitiques, notamment la guerre menée par la Russie contre l'Ukraine et ses alliés de l'OTAN, sont également associées à une augmentation significative des attaques DDoS, en particulier dans les secteurs de la santé, de l'électricité et des services publics, ainsi que de la logistique et des chaînes d'approvisionnement. Ces attaques DDoS accrues visent les infrastructures essentielles des adversaires.

Comcast Business a déclaré dans un rapport de 2022 avoir stoppé avec succès 24 845 attaques DDoS multivecteurs en 2021, soit une augmentation de 47 % par rapport à 2020. En 2021, 69 % des clients de Comcast ont subi des attaques DDoS, et 55 % d'entre elles étaient des cibles d'attaques multivecteurs. .

Le marché mondial du déni de service distribué a connu une croissance substantielle ces dernières années en raison de l’augmentation des menaces DDoS dans les environnements IoT. En outre, la recrudescence des attaques DDoS multivecteurs et la demande croissante de solutions de protection et d’atténuation DDoS basées sur le cloud et hybrides sont également considérées comme les principaux facteurs favorisant la croissance au cours de la période de prévision.

Pour en savoir plus sur l’étude, visitez :https://www.databridgemarketresearch.com/fr/reports/global-distributed-denial-of-service-market

• Abus d'API : Le logiciel qui permet à deux applications de se connecter est appelé API ou interface de programmation d'applications. Comme tout type de logiciel, ils peuvent inclure des failles qui permettent aux pirates d’insérer du code néfaste dans un programme particulier ou de fouiner des informations privées lors de leur transfert entre applications. À mesure que l’utilisation des API augmente, ce type d’attaque devient de plus en plus répandu
• Abus de Code tiers : Les applications Web modernes utilisent fréquemment un large éventail d’outils tiers. Un exemple est un [site de commerce électronique] utilisant un service de traitement des paiements tiers. Si un attaquant découvre une faille dans l'un de ces outils, il pourra voler les données qu'il traite, l'empêcher de fonctionner ou l'exploiter pour introduire du code malveillant dans d'autres parties de l'application. Cette classe d'attaques comprend les attaques magecart, qui volent les informations de carte de crédit aux processeurs de paiement. Ces attaques sont parfois appelées attaques de chaîne d'approvisionnement contre les navigateurs.
• Grattage de pages : Les attaquants peuvent également utiliser des robots pour extraire un contenu important des sites Web. Ils peuvent utiliser ces informations pour réduire les prix d'un rival, se faire passer pour le propriétaire de la page à des fins malveillantes ou pour d'autres objectifs.
• Corruption de la mémoire : La corruption de la mémoire est la modification involontaire d'un emplacement mémoire, ce qui peut entraîner un comportement inattendu du logiciel. Les acteurs malveillants tenteront de détecter la corruption de la mémoire et utiliseront à leur avantage des exploits tels que des attaques par injection de code ou par débordement de tampon.
• Débordement de tampon : une anomalie logicielle appelée tampon se produit lorsque des données sont écrites dans une zone désignée de la mémoire. Les données sont réécrites dans les régions de mémoire proches lorsque le tampon atteint sa limite. Ce comportement peut être utilisé pour injecter du code malveillant dans la mémoire de la machine cible, conduisant peut-être à une vulnérabilité.

En août 2023, Ivanti Avalanche, un outil de gestion de la mobilité d'entreprise (EMM) créé pour gérer, surveiller et sécuriser divers appareils mobiles, est affecté par deux dépassements de tampon de pile marqués conjointement comme CVE-2023-32560. Les vulnérabilités sont exploitables à distance sans authentification de l'utilisateur et sont classées comme critiques (CVSS v3 : 9.8), permettant aux attaquants d'exécuter du code arbitraire sur le système cible.

• CSRF (contrefaçon de demande intersite) : la falsification de demande intersite est réalisée en trompant une victime en lui faisant envoyer une demande en utilisant son authentification ou son autorisation. Un attaquant peut envoyer une requête en se faisant passer pour un utilisateur en utilisant les droits du compte de l'utilisateur. Une fois qu'un attaquant a accédé au compte d'un utilisateur, il peut exfiltrer, supprimer ou modifier des données sensibles. Les cibles incluent fréquemment des comptes hautement protégés tels que des administrateurs ou des dirigeants
• Bourrage d'informations d'identification : Les attaquants peuvent utiliser des robots pour saisir rapidement un grand nombre de combinaisons de noms d'utilisateur et de mots de passe volées dans les portails de connexion d'une application en ligne. C'est ce qu'on appelle le « credential stuffing ». Si l'attaquant peut accéder au compte d'un utilisateur réel grâce à cette pratique, il peut voler les données de l'utilisateur ou effectuer des transactions frauduleuses en utilisant le nom de l'utilisateur.
• Mauvaises configurations de la surface d'attaque : Les serveurs, appareils, SaaS et actifs cloud accessibles via Internet constituent l'ensemble de l'empreinte informatique d'une organisation, qui est vulnérable aux cyberattaques. Une surface d'attaque peut continuer à être vulnérable en omettant ou en configurant certains composants

Stratégies pour la sécurité des applications Web

• Atténuation DDoS : Les services d'atténuation DDoS utilisent des filtres spécialisés et une capacité de bande passante très élevée pour se placer entre un serveur et l'Internet public, empêchant ainsi les pics de trafic malveillant d'inonder le serveur. Ces services sont essentiels dans la mesure où plusieurs attaques DDoS contemporaines génèrent suffisamment de trafic malveillant pour submerger même les serveurs les plus résilients.
• Gestion des robots : Cette technique sépare le trafic automatisé des utilisateurs humains et interdit aux premiers d'accéder à une application Web en utilisant l'apprentissage automatique et d'autres techniques de détection spécialisées.

Le marché de la détection des botnets a connu une croissance substantielle ces dernières années en raison de l'utilisation croissante des API dans plusieurs entreprises en ligne, à savoir les jeux, le commerce électronique et autres. Ainsi, la surveillance continue des requêtes API, la mise en œuvre d’une architecture Zero Trust et le déploiement instantané de techniques d’atténuation des mauvais robots sont quelques moyens de protéger les API contre les attaques de robots.

Selon l’analyse de Data Bridge Market Research, le marché mondial de la détection des botnets devrait croître à un taux de croissance annuel composé (TCAC) de 38,30 % de 2022 à 2029.

Pour en savoir plus sur l’étude, visitez :https://www.databridgemarketresearch.com/fr/reports/global-botnet-detection-market

• Pare-feu d'applications Web (WAF) : Ces appareils bloquent le trafic connu pour exploiter les vulnérabilités connues ou suspectées d’exploiter les applications Web. L’émergence rapide et furtive de nouvelles vulnérabilités rend les WAF cruciaux car presque aucune organisation ne peut les détecter seule.
• Gestion des composants essentiels du processus de chiffrement SSL/TLS, tels que la création de clés privées, le renouvellement des certificats et la révocation de certificats en raison de failles d'un tiers. Cela élimine le risque que certains composants soient manqués et exposent un trafic confidentiel.
• Passerelles API : Ces outils peuvent détecter les « API fantômes » omises et arrêter le trafic dont on sait ou pense qu'il vise à exploiter les vulnérabilités des API. Ils aident à gérer et à suivre le trafic API

Le marché de la gestion des interfaces de programmation d'applications (API) a connu une croissance substantielle ces dernières années en raison du besoin croissant d'API pour améliorer la transformation numérique et du développement d'une gestion d'API hybride et multi-cloud pour les entreprises afin de répondre à la demande des utilisateurs, ce qui complétera encore davantage l'offre. croissance du marché au cours de la période de prévision. Selon l’analyse de Data Bridge Market Research, le marché mondial de l’analyse prédictive devrait croître à un taux de croissance annuel composé (TCAC) de 31,05 % de 2023 à 2030.

Pour en savoir plus sur l’étude, visitez :https://www.databridgemarketresearch.com/fr/reports/global-api-management-market

• DNSSEC : Une technologie qui garantit que la communication DNS pour une application Web est correctement dirigée vers les bons serveurs, protégeant ainsi les utilisateurs contre l'interception par un attaquant sur le chemin.
• Sécurité côté client : Cela aide les organisations à détecter plus tôt les comportements malveillants en vérifiant les nouvelles dépendances JavaScript tierces et les modifications apportées au code tiers.
• Gestion de la surface d'attaque : Utilisez un emplacement pour cartographier votre surface d'attaque, détecter les problèmes de sécurité potentiels et atténuer rapidement ces risques à l'aide d'outils de gestion de surface d'attaque exploitables.

Pratiques idéales pour la sécurité des applications pour différentes entreprises

• Fournir une autorisation et une authentification sécurisées: Des règles de sécurité par mot de passe strictes intégrées et appliquées, des choix d'authentification multifacteur qui incluent des clés matérielles, des fonctionnalités de contrôle d'accès et d'autres procédures rendent plus difficile pour les attaquants d'obtenir un accès non autorisé aux comptes d'utilisateurs et de se déplacer latéralement dans votre application.
• Exiger une validation d'entrée: Empêcher le code nuisible d'entrer dans l'application via une attaque par injection en empêchant le traitement des données mal formatées par les flux de travail de l'application
• Utilisation des techniques de cryptage les plus récentes: Le stockage des données utilisateur dans un format crypté et l'utilisation de HTTPS pour crypter la transmission du trafic entrant et sortant contribuent tous deux à empêcher le vol de données par les pirates.
• Documentation sur les changements de codage: Cela permet aux équipes de sécurité et de développement de remédier rapidement aux vulnérabilités nouvellement découvertes.
• API de surveillance: Il existe des outils pour trouver des « API fantômes » qui sont passées inaperçues mais qui pourraient constituer une surface d'attaque ; cependant, la sécurité des API est simplifiée si les API ne sont jamais manquées en premier lieu

Utilisation des services de contrôles de sécurité critiques (CIS) dans différentes industries

Les entreprises de nombreux secteurs, y compris ceux soumis à des réglementations strictes, peuvent utiliser Bot Management et d'autres produits CIS basés sur Cloudflare pour répondre aux exigences de sécurité, de performances et de résilience. Par exemple:

• Soins de santé – Selon le rapport IBM Cost of a Data Breach, le coût moyen d'une violation de données dans le secteur de la santé est passé de 10,10 millions de dollars en 2022 à 10,93 millions de dollars en 2023, soit une augmentation de 8,2 %. Les services CIS sont d’autant plus essentiels pour contribuer à stopper ces attaques coûteuses, car les soins de santé représentent le coût par violation de données le plus élevé pour la treizième année consécutive. Les clients du secteur de la santé peuvent utiliser la combinaison de CIS DDoS, WAF et Bot Management pour contribuer à atténuer les attaques de robots malveillants sophistiqués.
• Services financiers - Les banques et autres institutions financières peuvent utiliser des services CIS tels que l'atténuation DDoS et le pare-feu d'application Web (WAF) pour résoudre les problèmes de sécurité. Les clients peuvent défendre leurs applications Internet contre divers exploits, y compris les attaques du jour zéro, en utilisant les politiques clés en main du pare-feu d'application Web (WAF).
• commerce électronique - L'utilisation croissante des API dans le commerce électronique a également soulevé la possibilité de problèmes de sécurité avec les API. Les passerelles API peuvent être protégées par les organisations de commerce électronique utilisant les services CIS pour la protection DDoS.
• l'enseignement supérieur - De grandes quantités de données sur tous les étudiants, professeurs et anciens élèves sont hébergées par les organisations éducatives à travers leurs vastes réseaux, en particulier les établissements d'enseignement supérieur. Les cybercriminels peuvent ensuite utiliser ces données pour poursuivre leurs attaques contre des cibles spécifiques ou pour mener des projets à plus grande échelle contre des institutions dans leur ensemble.
• Construction - Le secteur de la construction est en proie à des travailleurs « sujets au phishing ». Le type de données collectées par l’industrie du bâtiment sert d’inspiration à de telles attaques. Les cyberattaquants s'intéressent aux données personnelles et aux informations précieuses telles que les secrets d'affaires, les calendriers de construction, les estimations de coûts et les offres de projet, entre autres. Les informations commerciales volées peuvent entraîner des blessures graves et des pertes financières. Le cadre de contrôle du CIS aborde les problèmes et les faiblesses qui existent dans le secteur
• Automobile - L'industrie automobile considère aujourd'hui les véhicules connectés et autonomes comme des machines intelligentes qui collectent de grandes quantités de données télémétriques. Cette industrie a raison d'examiner de plus près la sécurité des API en raison des fuites de vulnérabilités et des exploits de preuve de concept basés sur les API.
• Petites et moyennes entreprises ne représentent pas une industrie car ils peuvent appartenir à n’importe quelle sous-catégorie. S'il peut sembler logique que les pirates soient moins attirés par les petites « organisations » et leurs actifs relativement moins précieux que par les grandes entreprises, c'est loin d'être le cas. Selon les données de Verizon, les petites entreprises ont été impliquées dans 28 % de toutes les violations de données en 2020. Les petites entreprises ont souvent moins d'argent et traitent moins de données que les grandes entreprises, mais elles disposent également de solutions de sécurité moins fiables. En outre, de nombreuses petites entreprises n’ont que peu ou pas de cybersécurité en place.

Initiatives stratégiques prises par différentes entreprises

• En août 2023, Cloudflare a déclaré qu'IBM Cloud Internet Services (CIS), optimisé par Cloudflare, avait élargi la gamme de services qu'il propose, notamment Cloudflare Bot Management, qui est désormais accessible aux entreprises bénéficiant du plan Enterprise Premier pour les aider à résoudre et à contrer. la menace croissante posée par le trafic de robots nuisibles
• En juin 2023, SecureIQLab, un fournisseur de validation cloud, a publié sa troisième itération de test de pare-feu d'application Web (WAF 3.0). Les premiers cas de test de sécurité API en leur genre seront inclus dans cette version. Les solutions de sécurité leaders du marché seront évaluées par WAF 3.0 pour leur capacité à survivre au scénario complexe de cybermenace actuel.
• En mai 2023, Radware a dévoilé une nouvelle solution Cloud Web DDoS Protection. Les techniques modernes d'atténuation des attaques DDoS sont dépassées par une nouvelle génération d'attaques HTTPS Flood de couche 7 (L7) plus agressives, communément appelées attaques Web DDoS Tsunami. Cette approche vise à combler cet écart. Il minimise les faux positifs et offre une large couverture contre les attaques du jour zéro et les attaques les plus avancées.
• En avril 2023, Edgio a proposé une gestion avancée des robots qui permet d'observer les bons robots tout en atténuant de manière proactive une variété de mauvais robots émergents. Advanced Bot Manager utilise l'apprentissage automatique pour identifier les robots sur la base de signatures et d'empreintes comportementales, en exploitant les vastes volumes de données collectées en continu lors du vaste déploiement mondial de la plateforme. Afin d'analyser tout le trafic des robots en temps réel sur l'ensemble du réseau mondial Edgio, la solution s'exécute nativement sur chaque serveur.
• En octobre 2022, Akamai a lancé une solution de protection contre les déni de service distribué (DDoS) nommée Prolexic, une nouvelle plateforme de sixième génération. Il s'agit d'une architecture entièrement définie par logiciel, hautes performances et évolutive, qui améliore la capacité à répondre aux besoins changeants des consommateurs et aux exigences à venir en matière de cybersécurité.

Conclusion

À mesure que les entreprises migrent vers le cloud, permettant la numérisation d’ensembles de données, de services et de biens massifs, la sécurité des API deviendra de plus en plus cruciale en 2023 et au-delà. Avec ce changement, la surface d'attaque des API vulnérables augmente, ce qui nécessite de renforcer les services API pour protéger les opérations commerciales, les clients et les données. Au sein de la communauté de la cybersécurité et pour de nombreuses organisations, la sécurité des API devient une priorité. La sécurité des API est désormais un problème crucial, car les API exposées ou mal configurées offrent aux acteurs malveillants une excellente chance d'infiltrer un réseau.