コンテンツにスキップ

API攻撃面の検出

WallarmのAPI Attack Surface ManagementのコンポーネントであるAPI攻撃面の検出AASD)は、選択したドメインをスキャンしてそのすべての外部ホストおよびAPIを検出し、WebおよびAPIベースの攻撃に対する保護状況を評価し、WAF/WAAPソリューションの不足を特定します。Wallarmにサブスクライブするだけで動作するため、何もデプロイする必要はありません。本記事はそのコンポーネントの概要を説明します。

API攻撃面の検出

対応する問題

組織の外部APIのリストを完全に把握することは、監視されていないまたは文書化されていないAPIが悪意のある攻撃の侵入口となる可能性があるため、潜在的なセキュリティリスクを軽減するための第一歩です。

API攻撃面の検出のWallarmコンポーネントは、以下の提供内容によりこれらの問題の解決を支援します:

  • 選択したドメインに対する外部ホストの自動検出。

  • 検出されたホストの開放ポートの自動検出。

  • 検出されたホストのAPIの自動検出。

    以下のAPIタイプ(プロトコル)が検出できます:JSON-API、GraphQL、XML-RPC、JSON-RPC、OData、gRPC、WebSocket、SOAP、WebDav、HTML WEB。

    HTML WEB―ブラウザを使用した人間のアクセスのために設計されたHTMLウェブページです。静的なHTMLウェブページである場合もあれば、アプリケーションの単一のHTMLページで、そのアプリケーションが別のAPIにアクセスする場合もあります。

  • 検出されたホストのセキュリティ体制評価の自動化。

  • API攻撃面全体のWAAPスコアの算出。

  • セキュリティベンダー、データセンター、ロケーションごとの資産概要。

    1つのホストが複数のIPアドレスを持つ場合、データセンターおよび地理的ロケーションごとの資産統計はホスト単位ではなくIPアドレス単位で評価されます。CDNの使用により、資産の位置が代表的でない場合があります。

  • 検出されたホストのセキュリティ問題の自動検出。

これらはすべて、Wallarmへのサブスクリプションによって得られ、何もデプロイする必要はなく、即座に解析データを入手できます。

ホストを検索するドメイン

ホストを検索するルートドメインのリストを以下の方法で定義可能です:

  1. API Attack SurfaceまたはSecurity Issuesセクションで、Configureをクリックします。

  2. Scopeタブで、ドメインを追加します。

Wallarmはホストとそのsecurity issuesの検索を開始し、検索の進捗と結果がStatusタブに表示されます。

AASM - スコープの設定

ドメインは3日ごとに自動再スキャンされるため、新しいホストは自動的に追加され、以前リストにあったが再スキャンで発見されなかったホストはリストに残ります。

任意のドメインについて、ConfigureStatusから手動でスキャンの再開、一時停止、継続が可能です。

検出されたホストのデータ

ドメインに対してホストが検出された後、Wallarm ConsoleでAPI Attack Surfaceセクションに移動します。リスト内のホストをクリックすると、以下が表示されます:

  • ホストで検出された開放ポート

  • ホストで検出されたAPI

  • ホストの評価済みWAAPスコアの詳細

セキュリティ体制

Wallarmは外部ネットワーク境界のセキュリティ体制を自動的に評価し、その状態を0(最低)から100(最高)の合計スコアとして反映します。

API攻撃面 - 保護スコア

合計スコアは、次の要素を組み込んだ複雑な独自の計算式を用いて算出されます:

  • WAAPカバレッジスコアは、外部のWebおよびAPIサービスがWAF/WAAPソリューションによって保護されている割合を反映します。このスコアは、WAF/WAAPセキュリティで保護されたHTTP/HTTPSポートの割合として算出されます。

  • 平均WAAPスコアは、外部ホストのWebおよびAPI攻撃に対する耐性を表します。このスコアは、AASMがブロッキングモードで動作するアクティブなWAAPソリューションを識別し、エラーなくWAAPスコアが評価されたすべてのホストの平均値として算出されます。

特定のエンドポイントのWAAPスコアはWallarmによるテストの結果であり、以下の式で算出されます:

((AppSec + FalsePositive) / 2 + APISec) / 2

  • AppSec - SQLインジェクション、XSS、コマンドインジェクションなどのWeb攻撃に対する耐性。

  • APISec - GraphQL、SOAP、gRPCプロトコルを標的とするAPI攻撃に対する耐性。

  • FalsePositive - 正当なリクエストを誤って脅威と判定せずに正確に許可する能力。

各ホストについて、詳細なWAAPスコア評価レポート(PDF形式)をダウンロード可能です。

  • 追加の指標として、TLSカバレッジ、セキュリティ問題の有無、および検出されたセキュリティ問題が含まれます。