Как защитить API от DDoS-атак

По данным наших аналитиков, 2024 год в России стал рекордным по количеству DDoS-атак на API. Мы зарегистрировали вдвое больше инцидентов, чем годом ранее. В чём причина огромного интереса к API со стороны злоумышленников? И как защититься от таких атак? Давайте разбираться вместе.

Что такое API

Для начала напомним, что API (Application Programming Interface) — это набор правил, протоколов и инструментов, который позволяет разным программам взаимодействовать друг с другом. Если совсем просто, то это «посредник» между разными приложениями. Он определяет, каким образом одна программа может запросить данные или функции у другой, не зная, как она устроена внутри.

С примерами API мы косвенно встречаемся каждый день. Через такой интерфейс мобильное приложение с прогнозом погоды запрашивает данные у метеосервиса, а сервисы доставки — у Google Maps или платёжных систем. 

Как работает API простыми словами: 

1. Приложение №1 отправляет запрос на сервер API приложения №2. 
2. Сервер принимает запрос, проверяет входящие данные и обрабатывает его.
3. Если противоречий нет, то сервер API возвращает нужную информацию в удобном для приложения №1 формате (чаще это JSON или XML). 

В большинстве случаев API необходим для интеграции сервисов и экономии времени разработчика — не нужно писать код с нуля, достаточно найти готовые решения и подключиться к ним. Также для многих компаний важно, что эта технология ограничивает доступ к внутренним данным их приложения. Сторонние программы и пользователи видят только то, что предоставляет сервер API. 

Получается, что технология косвенно помогает обезопасить бизнес. Но как же получилось, что API стал мишенью для DDoS-атак?

Почему хакерам интересен API 

API может содержать уязвимости. Причин много: от ошибок в коде до отсутствия API-менеджмента в компании. Часто злоумышленники используют уязвимости, чтобы получать доступ к системам жертвы, персональным данным клиентов и прочей конфиденциальной информации.

В случае с DDoS-атаками важнее другое —- если злоумышленники добиваются отказа API популярного приложения, то парализуются все зависимые программные продукты. Последствия могут быть разными: от потери данных до изменения логики работы или даже полного выхода системы из строя. 

Таким образом, один точечный удар может перерасти в колоссальную проблему для сотен тысяч приложений и их владельцев. Более того, хакерам не нужно прилагать огромные усилия — достаточно найти уязвимость в API или вызвать чрезмерную нагрузку на конкретный эндпоинт. При этом DDoS-атаки в этом случае не требуют генерации больших объёмов трафика. Чтобы нарушить работу API и связанных с ним приложений, зачастую не нужны ботнеты и другие методы усиления атаки.  

Защита API — нужен другой подход  

Злоумышленники стремятся замаскировать целевые атаки под легитимный трафик, во многих случаях им это хорошо удаётся. Именно поэтому фильтрация вредоносного трафика в этом случае — более сложный процесс, чем в случае с HTTP Flood и другими более привычными типами DDoS-атак.

Традиционные технологии и средства защиты, как WAF или ограничение количества запросов (Rate Limiting), по отдельности всё чаще оказываются неэффективными. 

Чтобы выстроить максимальную безопасность API, рекомендуем задуматься об использовании комплексного подхода. Уже сейчас он может включать: 

• позитивную модель безопасности — когда средства защиты предотвращают атаки, запрещая всё, кроме легитимного трафика, 
• AI-анализ и машинное обучение — новые технологии эффективны в выявлении и фильтрации автоматизированных действий, маскирующихся под легитимный пользовательский трафик. 

Защита API требует тщательного подхода с комбинацией средств защиты. Только так можно обеспечить максимальную безопасность бизнеса от подобных атак. А пока рекомендуем начать хотя бы с самого очевидного — провести тестирование безопасности ваших API и проверить, как именно они защищаются сейчас.