Le Besoin de Sécurité et de Gouvernance des API

Les API sont le pilier des initiatives de transformation numérique. Elles présentent de nombreux avantages et c’est pour cette raison que des organisations déploient actuellement des API sur plusieurs clouds et centres de données, en s’appuyant sur divers environnements de gateway d’API.

Malheureusement, cela conduit à des zones d’ombre et à l’incapacité de suivre correctement qui fait quoi avec vos API. Et, tandis que les API fournissent l’accessibilité et la plateforme pour innover, elles augmentent considérablement le risque d’incidents et de fuites de données, poussant toutes les organisations à renforcer efficacement la sécurité de leurs API et à mieux protéger leur gouvernance.

PingOne API Intelligence vous permet de prendre les devants pour lutter contre les risques les plus importants concernant l’infrastructure des API. Vous pourrez :

Surmonter des problèmes et des vulnérabilités relatifs à la sécurité des API de production avant qu’ils ne deviennent coûteux, que l’on en parle dans la presse ou qu’ils soient exploités par des hackers.

• La presse a récemment évoqué plusieurs entreprises publiques dont des problèmes de sécurité des API ont exposé les informations personnelles de leurs clients. Voir les rapports de TechCrunch sur les problèmes des API de Peloton et Echelon : Peloton et Echelon. De même, voir le problème avec l’API de John Deere : Article de Motherboard sur John Deere et l’API de John Deere engendrant des fuites.

 

• Les défauts de conception des API sont les portes d’entrée que les hackers cherchent à franchir.

Protège votre marque contre les partenaires qui utilisent mal vos API ou qui en abusent

• Le cas très embarrassant d’un partenaire utilisant mal une API a récemment exposé des données financières et personnelles de millions d’Américains. Découvrez sur KrebsOnSecurity l’article Experian API Exposed Credit Scores.

 

Protège contre les pertes financières et l’endommagement de votre marque découlant des fuites et des fraudes liées aux API

• Les hackers lancent de nouveaux types d’attaques qui utilisent des identifiants valides pour exploiter les API dans le but d’usurper des comptes, de voler des données et de commettre des fraudes.

 

• Étant donné qu’il s’agit d’utilisateurs authentifiés et qu’il dessinent librement leurs attaques, les solutions de sécurité existantes ne sont pas adaptées pour détecter les hackers ciblant les API.

Protège contre les pertes financières et l’endommagement de votre marque découlant des fuites et des fraudes liées aux API

• Les CIO et les CISO sont de moins en moins à l’aise face à la prolifération d’API et au manque de surveillance de l’activité des utilisateurs. Cela engendre un besoin d’avoir des informations détaillées sur le trafic des API réunies dans des rapports de gouvernance, d’audit et d’analyse liés à l’identité de chaque utilisateur.

 

• Les API sont déployées partout, d’où la crainte d’en oublier certaines et de ne pas tout savoir sur les API actives. Il est fondamental, pour la sécurité de l’organisation de suivre les API sur tous les clouds et centres de données.

Les risques de sécurité des API peuvent être réduits en mettant en place un modèle de Zero Trust qui inclut des contrôles de sécurité renforcés sur l’identité et les API de prochaine génération. Cela impliquerait d’authentifier et d’autoriser toutes les demandes, de suivre toute l’activité des API et d’évaluer en permanence les risques de chaque session pour appliquer les remèdes adaptés lorsque cela est nécessaire.

PingOne API Intelligence vous permet de faire cela. Il s’agit d’un service basé sur le cloud et s’appuyant sur l’IA pour suivre l’activité des API et identifier les situations anormales sur tous vos clusters de gateways d’API, clouds et centres de données. Il peut détecter les partenaires qui utilisent mal les API ou qui en abusent, saisir les bugs et les vulnérabilités des API de production mais aussi bloquer automatiquement les cyberattaques ciblant les API.

PingOne API Intelligence ajoute aux gateways de vos API une couche de sécurité supplémentaire avec l’intelligence artificielle pour renforcer la sécurité et la gouvernance de votre infrastructure d’API. Il complète efficacement la sécurité des gateways de vos API en reconnaissant l’activité anormale et les mauvais comportements des utilisateurs sur les ressources des API, sans devoir gérer de règles ou de politiques.

Avec PingOne API Intelligence, le trafic des API est associé à l’identité de chaque utilisateur pour que vous puissiez suivre ce que chaque utilisateur fait sur vos clusters et clouds d’API. Les API existantes et nouvelles sont détectées automatiquement pour éliminer les zones d’ombre affectant leur visibilité, comme les API shadow ou oubliées. L’activité d’une session est surveillée en permanence et analysée pour chaque utilisateur. Toute situation anormale est rapportée et peut être bloquée ; de même des informations approfondies sur l’activité alimentent des rapports d’audit, d’analyse et de gouvernance.

PingOne API Intelligence en un coup d’œil :

• Un « panneau » unique pour surveiller toute l’infrastructure des API et procurer une visibilité globale de l’activité de l’utilisateur sur toutes les API et sur tous les gateways des API, centres de données et clouds.

 

• Détection dynamique des API pour éliminer les zones d’ombre affectant la visibilité. Il détecte les nouvelles API, les API shadow, les anciennes versions des API encore actives et les API oubliées pour que vous puissiez renforcer la sécurité avant que les hackers ne les trouvent.

 

• Détection des comportements anormaux en se basant sur l’intelligence artificielle et le machine learning pour identifier les défauts de conception, les bugs et les vulnérabilités des API de production, ainsi que les partenaires et les développeurs tiers qui utilisent mal vos API ou en abusent.

 

• Détection et blocage des cyberattaques ciblant les API en utilisant l’intelligence artificielle et le machine Learning pour éviter les usurpations de compte, les fraudes et les fuites de données, signalant les attaques ciblant les API et qui évoluent en permanence, qui ne sont pas détectées par la sécurité traditionnelle.

 

• Tromperie sur les API à l’aide d’un leurre pour détecter et bloquer instantanément l’activité d’un hacker.

 

• Auto-apprentissage sans règles ni politiques à configurer, écrire ou actualiser.

La demande de contrôle des données et des applications n’a jamais été aussi élevée et les organisations s’appuient désormais sur les API et les gateways des API pour fournir aux équipes internes et aux développeurs tiers la couche d’interface dont ils ont besoin pour suivre rapidement les mobiles et les autres intégrations des applications.

Ces API s’implantent dans les environnements cloud publics et privés, distribués dans différents data centers. Aussi, la plupart des DevOps et des équipes de sécurité ne sont pas sûrs de connaître toutes les API exposées, qu’elles soient internes ou externes.

Les équipes doivent éliminer les angles morts et identifier toutes les API, y compris les API shadow et les anciennes versions laissées actives par erreur lors de la migration d’une application. Les hackers cherchent les API oubliées et les exploitent pour pénétrer dans les organisations. Ce type d’attaque a déjà eu lieu sur des réseaux sociaux, et dans les secteurs de la finance, de la santé et de la grande distribution.

Une surveillance efficace de l’infrastructure d’une API nécessite également de suivre l’activité de chaque utilisateur sur toutes les API, quel que soit l’emplacement de l’API. Pourriez-vous détecter qu’un utilisateur a accédé à des API basées sur AWS et des API de votre propre data center en utilisant des jetons et des adresses IP différents ? Pour cela, il faut pouvoir relier tout le trafic des API à l’identité de chaque utilisateur avec des jetons, des cookies et les adresses IP utilisées sur toutes les gateways des API sur site et sur cloud auxquelles un accès a été donné.

PingOne API Intelligence procure ces fonctionnalités et bien plus encore :

• Réunit tout le trafic des API sur un seul panneau avec un tableau de bord pour suivre toute l’infrastructure de votre API sur toutes les gateways des API sur site et sur cloud.

 

• Surveille en permanence tout le trafic des API pour suivre les sessions associées à l’identité de chaque utilisateur. Le but est de fournir aux rapports d’audit et d’analyse des informations approfondies sur toute activité d’API utilisateur.

Le tableau de bord de PingOne fournit des informations détaillées sur les activités pouvant être utilisées dans des rapports d’audit, d’analyse et de gouvernance, notamment :

• Quelles API sont actives ; la détection des API permet d’identifier toutes les API actives, y compris les API connues, oubliées et inconnues.

 

• Pour chaque API, les endpoints des API (URL) sont consignés ainsi que les utilisateurs, les jetons, les cookies, les clés des API et les adresses IP utilisés. Les définitions des API sont aussi élaborées à partir du trafic observé.

 

• Ce à quoi chaque utilisateur accède. Pour chaque identité d’utilisateur, les éléments suivants sont notés : Les API et les URL auxquelles il a été accédé depuis les gateways des API et les clouds, ainsi que les jetons, cookies, clés des API et adresses IP utilisés.

Résumé des fonctionnalités de visibilité des API

• Un tableau de bord avec un panneau unique surveille toute l’infrastructure de l’API sur tous les gateways, data centers et clouds

 

• Suit toute l’activité des API et associe le trafic à l’identité de chaque utilisateur, avec tous les API, URL, jetons et adresses IP utilisés par chaque utilisateur

 

• Détecte les API y compris les API shadow, oubliées et les anciennes versions des API toujours actives

 

• Des informations détaillées sur l’activité sont fournies pour nourrir des rapports d’audit, d’analyse et de gouvernance

Étant donné que presque 83 % du trafic du réseau est attribué aux API, il est fondamental d’identifier les bons et les mauvais comportements pour obtenir une sécurité maximale. Bien sûr, le mauvais comportement ne correspond pas toujours à un hacker entraînant une fuite et tous les problèmes des API ne concernent pas nécessairement le piratage.

PingOne API Intelligence s’appuie sur l’intelligence artificielle et le machine learning pour vous aider à reconnaître un large éventail de situations anormales au niveau des API en production avant qu’elles deviennent coûteuses et embarrassantes, ou qu’elles soient exploitées par des hackers. Il peut détecter les comportements anormaux sur les API et les signaler à vos DevOps et à votre équipe de sécurité ; il peut s’agir de bugs sur les API, de problèmes de déploiement, des 10 principales vulnérabilités des API listées par l’OWASP ainsi que d’autres incidents, pouvant conduire à des fuites de données, des interruptions de service et à des usurpations de compte.

Un exemple de situation en production est le cas d’une API qui traite des demandes pour vérifier l’authentification et l’autorisation normales. L’API renvoie des données indiquant qu’elle ne devrait pas en raison d’un défaut de conception ou d’une erreur d’installation. Peloton, Echelon, John Deere et plusieurs autres organisations ont récemment fait l’actualité à cause de ce problème. Chez Peloton, la vulnérabilité permettait à n’importe qui de consulter les données confidentielles sur le compte de n’importe quel utilisateur, bien que leurs profils soient en mode confidentiel. Depuis, Peloton a résolu le problème. Plusieurs vulnérabilités sur les API de John Deere auraient exposé des données personnelles sur ses clients. Ces problèmes ont également été résolus.

Un autre exemple de situation anormale avec une API en production est le cas d’un site de e-commerce doté d’une API chargée de calculer les taxes sur les ventes. Cette API était envahie par une application interne, ce qui empêchait les clients de faire des achats. Non seulement cela a ajouté des frictions importantes à l’expérience client, mais le commerçant a connu des pertes considérables ce jour-là.

Un dernier exemple d’activité anormale concerne les jetons OAuth faisant des demandes de portée anormales, des durées de vie de jetons ou autres problèmes liés à l’accès d’un utilisateur à une API. PingOne API Intelligence fournira des informations sur les paramètres de chaque API et détectera les anomalies liées à des problèmes avec les configurations de votre fournisseur d’identité ou un piratage potentiel.

PingOne API intelligence peut aider à remédier à ces problèmes en production. Dans le premier scénario, les demandes peuvent être bloquées automatiquement et l’équipe alertée pour corriger l’API. Concernant la situation dans laquelle une API est envahie par une autre application, l’équipe pourrait être alertée par des informations sur le problème et agir immédiatement, notamment en modifiant la configuration de la limite de taux sur la gateway de l’API. L’application en faute pourrait aussi être immédiatement bloquée.

Il est également fondamental de surveiller les partenaires et les développeurs d’applications tiers qui utilisent vos API pour détecter rapidement tout abus. Plusieurs incidents liés à des partenaires utilisant mal des API ont récemment fait surface dans les actualités, ce qui a affecté la réputation des organisations qui fournissaient les API. Dans un cas connu, la mauvaise utilisation d’une API par un partenaire a entraîné une importante faille de sécurité. C’est pourquoi il est essentiel d’identifier ces problèmes à temps.

Résumé des fonctionnalités de détection des anomalies des API

• Détection basée sur l’intelligence artificielle des problèmes et des vulnérabilités des API avant qu’ils deviennent coûteux et embarrassant, ou pire qu’ils soient exploités par des hackers

 

• Suit toute l’activité des API et associe le trafic à l’identité de chaque utilisateur, avec tous les API, URL, jetons et adresses IP utilisés par chaque utilisateur

 

• Détecte les API y compris les API shadow, oubliées et les anciennes versions des API toujours actives

 

• Des informations détaillées sur l’activité sont fournies pour nourrir des rapports d’audit, d’analyse et de gouvernance

Compte tenu de la valeur importante que les données personnelles volées représente, les acteurs malveillants mènent des attaques sophistiquées et réussissent à contourner les mesures de sécurité traditionnelles des API, telles que celles fournies par les CDN,les WAF et les WAF de prochaine génération.

Ces hackers ressemblent à des utilisateurs normaux avec des identifiants et des comptes valides, ce qui les rend particulièrement difficiles à détecter avec une sécurité traditionnelle. Les hackers obtiennent des identifiants lors des attaques par phishing, en fouillant dans les jetons d’accès ou simplement en ouvrant leur propre compte.

Une tactique dont profitent les hackers consiste à orchestrer les attaques ciblant les API en utilisant leurs propres identifiants valides. Ils créent simplement un nouveau compte bancaire, s’inscrivent chez un nouveau prestataire de santé ou sur un réseau social. Puis ils utilisent l’appli fournie pour exécuter une rétroconception des API. Une fois connectés, ils contournent l’interface utilisateur de l’application et « travaillent » directement sur l’API pour y chercher des vulnérabilités à exploiter afin d’usurper des comptes.

Aussi, les hackers ressemblent à des utilisateurs normaux, ou sont de vrais clients, ayant réussi à franchir les étapes d’authentification et d’autorisation et qui peuvent alors accéder à volonté aux applications et aux API. Les équipes en charge de la sécurité ont alors plus de mal à identifier les failles. En fait, la plupart des failles concernant les API sont rarement détectées et quand elles le sont, c’est souvent après plusieurs mois.

Aussi, il n’est pas possible de compter sur des systèmes s’appuyant sur des règles tels que ceux utilisés traditionnellement pour la sécurité du web, puisque les hackers ne suivent pas des schémas d’attaques en particulier. Les attaques ciblant les API n’ont pas de style particulier et évoluent constamment car elles sont propres à l’API ciblée. Vous pouvez imaginer que chaque attaque a été conçue individuellement pour l’API, et c’est pourquoi la signature et la sécurité basée sur les règles, telles que celles utilisées dans les WAF, n’offrent aucune protection contre la plupart des attaques ciblant des API.

Détection et blocage automatique des piratages grâce à l’intelligence artificielle :

PingOne API Intelligence s’appuie sur l’intelligence artificielle et le machine learning pour exposer et bloquer cette nouvelle génération de cyberattaques qui évoluent en permanence, notamment :

• Les attaques visant les systèmes d’authentification : Les acteurs malveillants utilisent les attaques par force brute pour infiltrer les infrastructures des API en utilisant :

   

  • Des clés et des jetons d’API volés

   

  • Des noms d’utilisateur et des mots de passe volés lors d’attaques par phishing

   

  • Le credential stuffing sur les services de connexion des API avec des bots qui restent en-deçà des limites des taux

 

• Les attaques ciblant les données et les applications : Les pirates informatiques utilisent généralement un compte valide pour exécuter une rétroconception des API et pirater d’autres comptes afin de voler des informations, de perturber un service, de contrôler un système ou de compromettre des données.

Quelques exemples d’attaques fréquentes ciblant les données et les applications incluent :

• Extraction ou vol de données : Lorsqu’un hacker programme une attaque pour frapper plusieurs comptes et obtenir des informations, au lieu de n’en cibler qu’un seul.

 

• Attaques avec usurpation de compte : Lorsqu’un hacker a utilisé ses identifiants pour accéder à d’autres comptes par le biais de l’API.

 

• Fraude : Lorsqu’un hacker utilise des informations sur un compte ayant été volées à des fins financières.

 

• Autorisation au niveau des objets cassés : Lorsqu’un hacker trouve des vulnérabilités en manipulant les appels des API pour accéder à des données, ce qui devrait être limité aux utilisateurs autorisés.

 

• Suppression ou manipulation de données : Lorsqu’un hacker ou un employé efface ou modifie des données pour compromettre ou saboter un système.

 

• Données injectées dans un service applicatif : Lorsqu’un hacker essaye de surcharger un service d’API en injectant une quantité excessive de données, des codes malveillants comme un keylogger ou en chargeant des fichiers trop lourds.

 

• Manipulation de la chaîne de requête ou de l’en-tête d’API : Lorsqu’un hacker modifie la chaîne de requête ou l’en-tête pour accéder à des services non autorisés ou perturber le traitement de l’API.

 

• Les attaques DoS/DDoS visant les API : Les pirates informatiques ajustent les attaques pour rester en-deçà des limites de taux, qui peuvent désactiver les services fournis par les API ou détériorer l’expérience utilisateur.

   

  • Les attaques DDoS ciblant les API ont été créées pour surcharger les services et les pousser hors-ligne. Les hackers utilisent plusieurs machines pour envoyer des quantités normales de trafic à un service d’API, ce qui les rend difficile à détecter, en particulier s’ils restent en-deçà des limites de taux. Ensemble, elles créent une surcharge considérable du trafic.

   

  • Bien que les gateways des API mettent en place des limites de taux spécifiques pour contrôler l’activité des individus, elles ne parviennent généralement pas à voir des taux de trafic accumulés impliquant plusieurs clients. C’est pourquoi elles sont démunies face aux attaques DDoS distribuées.

   

  • Les attaques DDoS ciblent la gestion des sessions, la connexion et d’autres services essentiels à la fiabilité de l’application, car elles perturbent l’application et ont un impact important sur l’accès des clients et les coûts informatiques.

Leurre d’API pour détecter et bloquer instantanément une API ciblée

Résumé des fonctionnalités de détection et de blocage des cyberattaques ciblant les API

Les hackers utilisent couramment des techniques consistant à sonder ou à brouiller les API d’une organisation pour comprendre comment elles fonctionnent et pour déclencher des messages d’erreur susceptibles d’inclure des informations précieuses dans le message d’erreur, comme le traçage utilisé par des développeurs pour résoudre les bugs et laissés involontairement en production, etc. Lorsqu’un hacker « touche » un leurre, il est instantanément détecté et tous les accès aux API de production sont bloqués.

Résumé des fonctionnalités de détection et de blocage des cyberattaques ciblant les API

Détection et blocage des cyberattaques ciblant les API, grâce à l’intelligence artificielle pour éviter les usurpations de compte et les fuites de données

 

• Peut identifier les attaques actuelles ciblant les API, qui sont en style libre, évoluent en permanence et qui ne sont pas détectées par la sécurité traditionnelle

 

• Détecte les hackers qui utilisent des identifiants volés pour voler des données, commettre des fraudes, etc.

 

• Reconnaît les hackers qui exécutent une rétroconception des API pour les infiltrer

Tromperie sur les API pour détecter et bloquer instantanément les attaques. Utilisation de leurres pour identifier et mettre en quarantaine les hackers potentiels avant qu’ils puissent accéder aux API en production.

Ping Identity propose deux options de déploiement pour satisfaire les exigences de votre entreprise : Un service cloud SaaS ou un logiciel, pour des déploiements sur site et cloud utilisant des techniques de DevOps comme les conteneurs Docker et Kubernetes.

PingOne API Intelligence est un service cloud dans lequel les moteurs d’intelligence artificielle, les data stores et l’environnement du tableau de bord sont gérés pour vous. Ou bien, si vous préférez conserver ces fonctions sur site et sous votre contrôle, vous pouvez déployer PingOne API Intelligence pour les API dans vos data centers et vos environnements cloud grâce aux conteneurs Docker/Kubernetes ou aux machines virtuelles. Il vous suffit de choisir l’option qui correspond le mieux aux besoins de votre entreprise et à votre infrastructure d’API.

Intégrations de gateways d’API et de load balancer pour équilibrer les charges

Vous pouvez utiliser vos investissements dans l’infrastructure d’API existante avec des intégrations disponibles pour permettre une connexion à un vaste éventail de gateways d’API et certains load balancers. Un agent est utilisé pour saisir les métadonnées du trafic de vos clusters de gateways qui seront traitées par le moteur d’intelligence artificielle déployé sur le cloud ou sur site, en fonction de votre choix de déploiement.

Un déploiement avec vos gateways d’API est possible de deux manières :

• En mode bande latérale où un agent est placé à côté des gateways pour minimiser les modifications devant être apportées au réseau et à l’infrastructure.

 

• Mode en ligne avec l’agent déployé comme proxy inverse haute performance. Lorsqu’elle est déployée en ligne, la solution est aussi compatible avec les API qui sont mises en place directement sur les serveurs d’applications et non sur une gateway d’API.

Les solutions de sécurité des API de Ping Identity procurent une grande flexibilité en termes d’évolutivité et de déploiement pour répondre aux besoins des infrastructures d’API les plus exigeantes.

Alors que des API sont désormais déployées sur divers data centers, clouds privés et publics, les organisations doivent faire évoluer leur approche pour protéger les ressources précieuses qu’elles connectent. Aussi les entreprises doivent-elles utiliser l’intelligence artificielle et le machine learning pour centraliser toutes les données de surveillance et sur le trafic pour créer un panneau unique du trafic des API, ainsi que pour détecter et corriger les anomalies et les attaques.

Enfin, adopter une approche intelligente de la sécurité des API permet à votre entreprise de protéger les infrastructures numériques essentielles contre les incidents et les hackers, tout en permettant aux équipes de montrer leur conformité aux politiques internes et aux réglementations du secteur.

#3620 | 04.22 | V01