چرا شرکت‌ها بهتر است مشکلات امنیتی ناشی از گسترش API را جدی بگیرند

کمیته رکن چهارم – APIها نقش بسیار مهم و حیاتی در توسعه و پیشرفت تحول دیجیتال دارند. از طرفی مهاجمان سایبری نیز همواره در حال تلاش برای نفوذ به سیستم‌ها از طریق سوءاستفاده از APIها و آسیب‌پذیری‌هایشان هستند. بنابراین کارشناسان امنیتی، فروشندگان و ارایه‌دهندگان راهکارهای امنیتی باید جهت کمک به سازمان‌ها برای مقابله با چالش‌های پیش رو، تمرکز ویژه‌ای بر روی ارتقای امنیت APIها در مراحل توسعه، نصب و استقرارشان داشته باشند.

امروزه سازمان‌ها در معرض مخاطرات ناشی از حملات بی‌سابقه APIها (به انگلیسی: Application Programming Interface) قرار دارند. البته بسیاری از کسب‌وکارها همچنان توجه چندانی به حفظ امنیت API و این حملات نداشته و آنها را به رسمیت نمی‌شناسند.

با این وجود پیش‌بینی می‌شود که در سال ۲۰۲۲ میلادی موضوع امنیت API توجه تیم‌های امنیت سایبری بسیار زیادی را به خود جلب کند.

امروزه مهاجمان سایبری از APIها به عنوان ابزاری همه کاره در مراحل اولیه حملات پیچیده چند مرحله‌ای استفاده می‌کنند. مجرمان سایبری به محض یافتن راه نفوذی به یک دستگاه یا سرور، بلافاصله APIهای موجود را جستجو نموده و آنها را دستکاری می‌کنند.

بنا به گفته Mike Spanbauer پژوهشگر امنیت سایبری در شرکت Juniper Networks: «مهاجمان نسبت به فرصت‌هایی که APIها برای آنها فراهم می‌کنند آگاهی کامل دارند».

بسیاری از کارشناسان امنیتی معتقدند که APIها حکم شمشیر دولبه را دارند. اگرچه APIها نقش مهمی در تسریع تحول دیجیتال دارند ولی از طرفی منجر به گسترش سطح حمله در شبکه‌های کاری امروزی نیز می‌شوند. در ادامه دیدگاه‌های یکسری از کارشناسان امنیتی را که در شرکت‌های تأمین‌کننده سیستم‌های امنیتی پیشرفته API فعال هستند مورد بررسی قرار می‌دهیم.

دستکاری APIها

اقدامات مخربی که با سوءاستفاده از APIها صورت می‌گیرند جزو گروه خاصی از انواع حملات تحت عنوان LotL یا Living off the Land هستند. مجرمان سایبری در این حملات از ابزارهای پیش از نصب در سیستم‌عامل جهت پیشگیری و گریز از تشخیص استفاده می‌کنند. از این رو APIها به راحتی توجه تیم‌های امنیتی را جلب نمی‌کنند.

از طرفی تصمیم‌گیرندگان غیرفنی سازمان‌ها معمولاً درک جامعی از تاکتیک‌های LotL ندارند. در حالی که رویکردهای LotL جزو مخاطرات امنیتی بسیار ظریف بوده و پیامدهای منفی بسیار زیادی را هم ایجاد می‌کنند. بیش از ۱۰۰ ابزار مخصوص سیستم‌عامل ویندوز وجود دارد که برای اجرای کدهای تازه در سیستم‌های حیاتیاز جانب هر کاربری که دارای دسترسی‌های سطح بالا است طراحی شده‌اند. مهاجمان سایبری نیز روش‌های پیچیده و خاصی را برای رسیدن به این دسترسی‌های سطح بالا و در اختیار گرفتن کنترل کامل ابزارهای داخلی شبکه‌ها طراحی کرده‌اند.

ظاهراً در حال حاضر مهاجمان از API به عنوان یک ابزار داخلی استفاده می‌کنند. API‌ها یک راه ارتباطی جهت انتقال داده‌ها در بین بخش های مختلف دنیای مجازی بوده و به عنوان سازوکارهای دسترسی نه تنها در سیستم‌های ویندوزی بلکه در کل اکوسیستم تجارت دیجیتال نقش حیاتی دارند.

APIها که عنصر اصلی در اتصال مسیرهای مختلف به یکدیگر بوده و امکان اتصال کاربران را به نرم‌افزارهای جدید و جذاب فراهم می‌کند. APIها همچنین به پایگاه‌های داده مجازی مستقر در فضای ابر یا محیط سازمان‌ها دسترسی دارند. علاوه بر این APIها جهت برقراری ارتباط در بین کاربران و دارایی‌های دیجیتالی که در مراکز داده درون سازمانی و محیط‌های ابر مختلف توزیع شده‌اند طراحی شده‌اند. معماری‌های امنیتی سنتی سازگاری چندانی با چنین محیط بسیار پویا و پیچیده‌ای ندارند.

امنیت API مستلزم افزایش توجه و اجرای فرایندهای امنیتی قوی است که منجر به کاهش مزایا و کاربردهای آن نشود. Spanbauer می‌گوید: «در سال‌های اخیر مهاجمان سایبری از راهکارهای قوی و یشرفته برای یافتن نقطه‌ ضعف‌های امنیتی API و سوءاستفاده از آنها استفاده کرده‌اند. بنابراین باید از فناوری‌های هوشمند و راهکارهای کارآمد برای حفظ امنیت API استفاده کنیم».

در حالی که امکان پیشرفت تیم‌های امنیت سایبری به سادگی میسر نیست، گروه‌های هک سازمان یافته همواره در حال تلاش در راستای پیشرفت بوده و سوءاستفاده از هر API در دسترس بوده‌اند هستند.

هکرها به علم بر اینکه تقویت سطح امنیت API در مدت زمان کوتاه امکان‌پذیر نیست، همواره از APIها به عنوان مجرایی برای حرکت عرضی در شبکه‌ها، پیدا کردن دارایی‌های ارزشمند، سرقت داده‌ها و تعبیه بدافزار سوءاستفاده می‌کنند.

مخاطرات زنجیره تأمین

در حال حاضر فعالیت‌های مخربی که از طریق API صورت می‌گیرند معمولاً طی عملیات هک چند مرحله‌ای انجام می‌شوند. برای مثال دستکاری API از جمله مراحل مهم حمله بر ضد شرکت‌هایی مثل Capital One، Solar Winds، Colonial Pipeline، Kaseya، Microsoft Exchange و غیره بوده است.

Spanbauer می‌گوید: «APIها در مرحله اول از حملات چند مرحله‌ای نقش بسیار مهمی ایفا نموده و مهاجمان سایبری نیز از APIها به عنوان یک مسیر آلودگی بسیار قدرتمند استفاده می‌کنند. مهاجمان پس از نفوذ به سیستم‌ها از طریق API  می‌توانند انواع فایل‌ها یا داده‌ها را رمزنگاری نموده و به خارج از شبکه ارسال کنند. آنها همچنین می‌توانند از فرصت‌های موجود جهت گسترش آلودگی سوءاستفاده نمایند».

APIها به آرامی و به صورت کاملاً پنهانی به یکی از حلقه‌های مهم در زنجیره حملات سایبری تبدیل می‌شوند. برای مثال به تازگی مایکروسافت اعلام کرد که یک گروه هکر چینی موسوم به Hafnium از چند آسیب‌پذیری روز صفر موجود در سرور Exchange برای دسترسی کامل به شبکه‌های سازمانی استفاده کرده است. اگرچه مایکروسافت یک وصله امنیتی اضطراری برای سرور Exchange منتشر کرد اما همچنان کاربران بسیار زیادی در سطح جهان از نسخه آسیب‌پذیر استفاده می‌کنند.

براساس آمار و نتایج تحقیقات، سرورهای Exchange حدود ۳۰ هزار شرکت آمریکایی و ۶۰ هزار شرکت آلمانی که به روزرسانی نشده‌ بودند مورد نفوذ قرار گرفتند. این نفوذها به محض انتشار وصله امنیتی توسط مایکروسافت، طی ۱۰ حمله سازماندهی شده صورت گرفته‌اند. مهاجمان سایبری این وصله‌های امنیتی را مهندسی معکوس نموده و با استفاده از اطلاعات به دست آمده به حداکثر تعداد سرور Exchange ممکن حمله کردند.

مهاجمان پس از نفوذ موفق به سرور Exchange شرکت، APIها را جهت نفوذ بیشتر دستکاری کردند. براساس گزارشی که توسط کارشناسان امنیت سایبری شرکت Cybereason و در رابطه با یکی از حملاتی که توسط عوامل بات نت Prometei اجرا شده آماده گردیده است، مهاجمان سایبری در این حمله از APIهای بومی برای کنترل چند ابزار سیستم‌عامل ویندوز استفاده کرده‌اند. مهاجمان با بکارگیری چنین تکنیکی و پس از نصب یک بات‌نت مخصوص رمز ارزها، اعتبارنامه‌های کاربری را به سرقت برده و از سایر آسیب‌پذیری‌هایی که رفع نشده بودند نیز سوءاستفاده کردند.

Spanbauer می‌گوید: «مسیر حمله APIها بسیار عظیم است. با توجه به عدم تشابه تعامل کاربران با APIها به برنامه‌های کاربردی، بسیاری از فعالیت‌های مخرب آنها به صورت مخفیانه انجام می‌شوند».

معکوس کردن معادله

مسیر پیش رو برای فروشندگان راهکارهای امنیت سایبری واضح و مشخص است. شرکت‌ها باید به یک آگاهی جامع نسبت به APIها رسیده و از سیاست‌های امنیتی هوشمندانه‌تری که در راستای کندتر کردن دستکاری‌ها و اقدامات مخرب طراحی شده‌اند استفاده کنند. فریم‌ورک‌ها و ابزارهای امنیتی باید به گونه‌ای تنظیم شوند که امکان نظارت بر روی کلیه APIها و تشخیص هر گونه فعالیت غیرمجازی در آنها را داشته باشند.

Spanbauer می‌گوید: «باید قابلیت‌های‌مان را گسترش داده و به سازمان‌ها برای روبرو شدن با این چالش جدید و پیچیده کمک کنیم. امروزه امکان تشخیص اقدامات مخربی که در برنامه‌های کاربردی صورت می‌گیرد چندان آسان نیست. بنابراین  باید از ابزارهای نظارتی پیشرفته و نرم‌افزارهای تحلیل توسعه‌یافته استفاده کنیم». خوشبختانه چنین تغییراتی در حال وقوع هستند. البته وقایع دنیای امنیت سایبری یک شبه رخ نمی‌دهند و مستلزم عملیات برنامه‌ریزی شده و مستمر می‌باشند.

به تازگی مؤسسه گارتنر نیز امنیت API را به عنوان قطب اصلی در معماری امنیت مرجع‌ خود معرفی نموده و نه یک عضو افزودنی و جانبی در سایر سیستم‌ها.

چنین نظریه‌ای از سوی گارتنر دلالت بر ایجاد یک تخصص جدید در حوزه امنیت سایبری دارد. بر این اساس فروشندگان و ارایه‌دهندگان راهکارهای امنیت سایبری متمرکز بر ارتقای امنیت APIها در مراحل توسعه، نصب و استقرارشان هستند.

بنا به گفته Spanbauer: «همچنان که مسیرهای حمله رو به رشد و توسعه هستند، راهکارهای حفاظتی جهت تأمین و حفظ امنیت API نیز باید تقویت شوند. مهاجمان قدرت APIها را به عنوان یک ابزار حمله درک کرده و همچنان به رشد و تقویت توانایی‌های‌شان ادامه می‌دهند. همچنین جهت مقابله با چنین روندی فایروال‌های نسل جدید و قابلیت‌های امنیتی مبتنی بر ابر را تقویت نموده و از همه ابزارهای موجود برای حفاظت از مشتریانمان استفاده خواهیم کرد».

حفره‌های امنیتی APIها همچنان رو به گسترش هستند. هکرها نیز مانند مدافعان در پی استفاده از همه ابزارهای موجود خواهند بود. تیم‌های امنیتی می‌توانند با استفاده از طراحی و نصب امن‌تر APIها چنین شرایطی را تغییر دهند.

منبع: فراست