企業のサイバーセキュリティ チームはAPI セキュリティに重点を移しており、それは当然のことです。 デジタル経済において、API はビジネスへの玄関口であり、IoT デバイス、Web およびモバイル アプリ、ビジネス パートナー プロセスへのエントリ ポイントです。 残念なことに、API は犯罪者にとっての入り口でもあり、その多くはボットを利用して攻撃を実行します。 したがって、セキュリティ チームが API を保護し、API への攻撃に使用されるボットを軽減することが重要です。
OWASP の上位 10 の API セキュリティ脆弱性を見ると、ボットが API への攻撃の中心であることがわかります。 上位 10 件の API 脆弱性のうち 3 つは、ボットに直接的かつ明白に関連しています。
OWASP API トップ 10 リストの他の 7 つの項目 (セキュリティ構成の誤り、在庫管理の不備、認証の不備など) は、ボットとそれほど関連が明らかではありませんが、攻撃者はボットを利用してこれらの脆弱性を効果的に発見し、迅速に悪用します。 Corey J. Ball は著書『 Hacking APIs 』で、API 検出 (OWASP ZAP、Gobuster、Kiterunner) とファジング (Postman、Wfuzz、Burp Suite) のためのいくつかの自動化ツールの使用について説明しています。 攻撃者はこれらのツールを使用して、API に何千ものリクエストを送信し、脆弱性を探し出します。 このスヌーピングを可視化し、成功する可能性を減らすには、ボットを軽減するための効果的なシステムが必要です。
ボットはすべての API に同じように影響を与えるわけではありません。 マシン間であり、自動化されたプロセス (通常は内部プロセスまたはパートナーのプロセス) によってアクセスされる API は、通常、相互 TLSによって保護されます。この場合、認証が破られるリスクは低く、認証されたクライアントごとにレート制限を適用できます。 むしろ、ボットに対して最も脆弱なのは、インタラクティブ アプリ (つまり、人間が操作する Web アプリやモバイル アプリ) からのトラフィックのみを想定する API です。
人間が開始するトラフィックを想定する API の場合、ボットに対する防御はますます困難になっています。 オープンソースライブラリを使用すると、ヘッダー フィンガープリントによる検出を回避するのが簡単になり、ボット オペレーターは、数千万の住宅 IP アドレスを含むネットワークを介してCAPTCHAやプロキシ要求を回避するために広く利用可能なサービスを利用できます。 ヘッダー分析、IP 拒否リスト、CAPTCHA などの古い手法はもはや効果的ではないため、ボットの軽減を目指すアプリケーション セキュリティ チームは、JavaScript とモバイル SDK を活用した豊富なクライアント側シグナル収集と、攻撃ツールとボットの動作を区別するための高度な機械学習に頼る必要があります。
組織のどの API がボットに対して脆弱であり、影響の可能性とコストはどの程度か、また、ボットに対する必要な保護を確保するためにセキュリティ制御をどのように設計できるか。 これらは脅威モデル化で対処すべき良い質問です。 ボットのビジネスへの影響について詳しくは、このトピックに関する F5 のホワイトペーパーを参照するか、無料相談にご登録ください。