API World 2023 Объединяя API, ИИ и безопасность секретов

API World 2023 Совмещая API, ИИ и безопасность секретов

Когда большинство людей думают о Санта-Кларе, они сразу же представляют себе Сан-Франциско 49ерс, так как именно здесь расположен их стадион. Они также могут вспомнить об California’s Great America, парке развлечений, который развлекает людей с 1970-х годов. Учитывая, что в Санта-Кларе находятся штаб-квартиры многих технологических компаний, включая Advanced Micro Devices, Intel и Nvidia, многие считают ее важной частью Кремниевой долины. Для нескольких тысяч человек, собравшихся там в конце октября, она навсегда будет связана с прогрессом в области API и искусственного интеллекта благодаря API World 2023.

В этом году мероприятие было проведено совместно с AI Dev World, объединяющим практиков из этих двух связанных областей. Это имеет смысл, поскольку наиболее значимые инновации в области искусственного интеллекта и крупных моделей обучения, LLM, за последние несколько лет связаны с интеграциями API в сервисы, такие как OpenAI’s ChatGPT и IBM Watson. Кажется, что разработка любого искусственного интеллекта также означает создание и поддержку API.

#APIWorld #AIDevWorld

На протяжении трехдневного мероприятия было более 70 докладчиков. Это слишком много для основательного освещения в данной статье, но вот некоторые из основных моментов.

Будущее искусственного интеллекта непредсказуемо

В своей открывающей презентации “Навигация в сфере изобретения, инноваций и разрушений в эре искусственного интеллекта” Хуррам Латиф из Deloitte Consulting, Джастин Хиза и Михаэль Шез из Shutterstock описали некоторые интересные способы их сотрудничества в области продуктов, основанных на искусственном интеллекте, и поделились своими мыслями о будущем технологии.

Shutterstock – это компания по продаже стоковых контентов, предлагающая предварительно готовые изображения, видео, аудио и многие другие типы медиа. Они используют искусственный интеллект уже несколько лет, главным образом для классификации и предложения связанного контента на своем сайте автоматически. Использование генеративного искусственного интеллекта для персонализации контента – новые задачи для них, и поэтому они сотрудничали с Deloitte.

Они продемонстрировали несколько примеров, включая свою функцию “Magic Brush”, которая позволяет пользователям настраивать существующий контент на основе заданных подсказок. Например, если кому-то нужна шляпа “в стиле бренда”, вы просто сообщаете искусственному интеллекту, что вы хотите, и он в считанные секунды выполнит размещение, корректировку освещения и все остальные доработки. Другой пример – создатель пользовательского текста, который определяет тему на основе заданного изображения и настраивает запрошенный текст, чтобы он идеально соответствовал теме изображения.

Команда поделилась некоторыми из значимых выводов, которые они сделали в процессе работы над множеством проектов в области искусственного интеллекта. Одним из наиболее важных уроков стало понимание того, что мы вступаем в мир без всех ответов. Они пришли к выводу, что практически невозможно предсказать, что сработает, а что нет с использованием искусственного интеллекта уже через год. Если вы переусердствуете в начальной стадии разработки, вам придется много времени тратить на попытки заставить ИИ сделать то, чего он может быть неспособен.

Методом, который работает, является быстрое прототипирование и получение отзывов как можно быстрее. Начиная с целей и задач клиента, они дали своим инженерам возможность создавать концепты для любой идеи, которая двигает их в направлении достижения этих целей; в конечном итоге, клиент оценивает, является ли инновация в области искусственного интеллекта ценной.

#APIWorld официально началось с первого семинара от #ShutterStock и Deloitte, презентующего: “Навигация в сфере изобретения, инноваций и разрушений в эре искусственного интеллекта” от Хуррама Латифа, Джастина Хизы и Михаэля Шеза.

Хорошая безопасность API требует больше, чем инструменты

Участники API World имели возможность посмотреть три разные презентации от Изабель Мони, главного технического директора и сооснователя 42Crunch, которые дополняли друг друга. Во всех этих сессиях она акцентировала внимание на важности безопасности API и том, как мы можем использовать недавно обновленный OWASP API Top 10.

В своей презентации в первый день мероприятия “Распространенные проблемы безопасности API: учимся на ошибках других”, она провела нас через несколько случаев безопасности, связанных с API. Один случай касался микропивоварни, чей API позволял хакерам распечатывать тысячи бесплатных купонов на пиво. В другом случае была затронута система физического контроля доступа университета, не имеющая никакой авторизации, что означало, что любой пользователь с учетной записью мог получить права администратора. Она подвела итог основной проблеме во всех своих примерах, а именно тому, что безопасность API была неосознанной. В то время как начинать работу по безопасности с общего OWASP Top 10 хорошо, нам нужно сосредоточиться на проблемах, представленных ранее в OWASP API Top 10, на этапе проектирования.

Позже она рассмотрела более широкие культурные проблемы безопасности API. В своей сессии “Почему так многие средства безопасности API не справляются”, Изабель сказала, что одной из самых больших проблем является то, что большинство организаций не знают, сколько API они управляют. Это связано с отсутствием управления, недостаточным обучением и тенденцией просто пытаться решать проблемы с помощью технологических инструментов. Хорошее управление означает создание и распространение документации о том, как правильно создавать API, сообщать о их существовании и обеспечивать их безопасность.

“Распространенные проблемы безопасности API: учимся на ошибках других” Изабель Мони на #APIWorld

Обеспечение безопасности вашего API – не проблема вашего приложения

Рекомендация обращаться к OWASP API Top 10 для обеспечения безопасности API снова возникла в сессии “Открытие исследований: вновь появившиеся угрозы API и способы их предотвращения” от Патрика Салливана, главного технолога стратегии безопасности в Akamai. Он подчеркнул, что традиционная безопасность приложений, на которую традиционно ориентировался OWASP, основывалась на правилах и шлюзах WAF. Но угрозы для API отличаются. API могут использоваться для сбора данных, помогать злоумышленникам в картографировании сети и упрощать выполнение атак отказа в обслуживании.

Еще одно основное отличие в подходах к безопасности состоит в том, что в то время как безопасность приложения ухаживает за приложением, приложение не предполагает никаких обязанностей по обеспечению безопасности API. Он сказал, что самое распространенное, что он слышит, когда он сталкивается с кем-то, касается уязвимости в API, – это “Я думал, что приложение займется этим”. Это особенно верно, когда речь идет об авторизации. В то время как традиционные приложения встроены в логику, позволяющую запросу выполниться только в случае выполнения определенных условий, большинство API позволяют любому, кто может получить аутентификацию, сделать практически любой запрос. От разработчика зависит как обрабатывать этот аспект безопасности в коде.

Открытие исследований: вновь появившиеся угрозы API и способы их предотвращения Патрик Салливан, главный технолог стратегии безопасности в Akamai на #APIWorld

Не просто следуйте пути счастливого тестирования

В своей сессии “Почему вы должны взломать свои собственные API,” Дэн Барахона, основатель APIsec, сказал, что одной из самых больших проблем с безопасностью API является недостаток тестирования. API часто тестируются для проверки того, что они делают то, что вы от них хотите, но слишком часто мы не тестируем, что они делают то, для чего не предназначены. Мы склонны следовать счастливому пути, когда вместо этого нам нужно мыслить как злоумышленник и искать непредвиденное поведение, которое мы можем вызвать.

Он рассмотрел несколько недавних примеров неправильной безопасности API, в основном связанных с ошибками логики авторизации. Он упомянул такие компании, как Coinbase, где исследователь получил $250 тыс. за обнаружение ошибки, которая могла бы привести к падению компании; Duolingo, где угадывание идентификаторов пользователей привело к краже электронных писем и имен 2,6 миллиона пользователей; и Peleton, где уязвимость авторизации привела к утечке данных более 4 миллионов пользователей.

Наша задача в области безопасности API – найти уязвимости до того, как они попадут в дикую природу. Мы слышали, что начать с OWASP API Top 10 – это хорошо, но он сказал, что требуется более последовательное и автоматизированное тестирование непреднамеренного использования. Он завершил свою речь, кратко изложив свой собственный топ-10 передовых практик, которые они используют в бесплатных курсах на APISEC University:

1. Начните с управления. 2. Знайте свою экосистему API. 3. Обеспечьте общение команд безопасности и разработки. 4. Документация API – это неотъемлемое требование. 5. Обучайте разработчиков и владельцев API безопасности API. 6. Централизуйте управление API. 7. Ни на что не надейтесь, всё проверяйте. 8. Не полагайтесь на графический интерфейс для безопасности. 9. Аутентификация НЕ является авторизацией. Авторизация должна происходить в логике. 10. Автоматизируйте тестирование перед производством, по возможности.

“Почему вы должны взламывать свои собственные API” от Дэна Барахона, основателя APIsec, на #APIWorld

Необходимость команды фиолетового уровня безопасности API

Приложение похоже на осьминога. Так начал свою сессию “Красный + Синий = Фиолетовый: стратегии в области безопасности API” Джереми Вентура, директор по стратегии безопасности и президент по безопасности поля ThreatX. Как осьминог, у него есть главное тело и голова, которые управляют приложением. API – это каждая протянутая ветвь, которая позволяет осьминогу двигаться и взаимодействовать с миром.

Традиционная “синяя команда” по безопасности сосредоточена на защите центрального приложения, а не на его “рукавах”. Красные команды все больше сосредоточены на проникновении через любой доступный путь. Поскольку API вызовы теперь отвечают за более 80% веб-трафика, ясно, что это новый фронт битвы. Нам нужно соединиться на середине и сместить фокус на обеспечение безопасности и поиск уязвимостей в наших API.

Джереми сказал, что одной из основных проблем является то, что большинство организаций не знают, сколько API они управляют. Это приводит к миру “зомби-API”, которые должны были быть выведены из эксплуатации, находятся в незапатченном состоянии и по-прежнему позволяют выполнять вызовы. По его словам, в среднем во время работы с клиентом они обнаруживают в 8 раз больше API, чем изначально думали.

Помимо OWASP API Top 10, Джереми сказал, что для большинства API необходимо уделить внимание ограничению скорости и ведению журналов. Он сказал, что ведение журналов недостаточно; вы должны активно реагировать на любую подозрительную активность. Реальный путь решения этих проблем заключается в совместной работе, установлении политик, обучении людей и использовании более качественных инструментов тестирования на более ранней стадии разработки. Признавая важность технологий, он напомнил нам, что всегда нужно ставить людей на первое место при решении вопросов безопасности.

“Красный + Синий = Фиолетовый: стратегии в области безопасности API” Джереми Вентура, директор по стратегии безопасности и президент по безопасности поля ThreatX на #APIWorld

Хорошая безопасность начинается с знания тех ресурсов, которыми вы обладаете

На протяжении всего мероприятия, в любой сессии, посвященной безопасности API или искусственному интеллекту, почти каждый спикер упоминал важность понимания ваших активов как первого важного шага в вашем пути к безопасности. В конце концов, нельзя защищать то, чего вы не знаете. Это то, о чем я также говорил в своей сессии «Вы знаете, где находятся ваши секреты? Исследование проблемы разрастания секретов и зрелости управления секретами» на основе модели зрелости управления секретами от GitGuardian. В ходе доклада мы рассмотрели то, что зрелые организации не только знают, где находятся их секреты, но и могут аудировать и отслеживать их создание и использование с помощью сервиса управления секретами, такого как Hashicorps’ Vault Enterprise или Doppler.

Также важно знать, в каких местах вашего кода и в других местах находятся секреты в открытом виде, где они не должны быть. Именно здесь приходит на помощь автоматизированное сканирование секретов. Например, при подключении репозитория к платформе обнаружения секретов GitGuardian, она проведет историческое сканирование и сообщит вам, где эти секреты существуют в вашей истории гита. Затем она будет активно отслеживать любые новые секреты, поступающие в периметр, предупреждая вас о их местонахождении.

В управлении секретами, безопасности API и безопасности ИИ не принимается применение безопасности “впоследствии”. Мы должны решать уязвимости, перечисленные в OWASP API Top 10 на более ранней стадии жизненного цикла разработки и прекратить считать каждую проблему такой, которую можно решить только с помощью технологий. Нам также нужно хорошее управление, которое создает хорошие процессы, на которых обучены люди. У нас еще долгий путь в обеспечении безопасности нашего кода и наших API, но вместе мы можем найти лучший путь защиты наших приложений и наших клиентов.