API-rajapintahyökkäykset ovat kasvava uhka

API-rajapinta eli ohjelmointirajapinta (application programming interface) mahdollistaa eri ohjelmistojen välisen kommunikaation, mikä sallii esimerkiksi tietojen hakemisen ja siirtämisen ohjelmistojen välillä. Tämän vuoksi se on keskeinen osa dataintegraatiota.

Dataintegraatio on nykyaikaisessa liiketoiminnassa erittäin olennainen tekijä. Se tarkoittaa datan yhdenmukaistamista yhtenäiseen muotoon ja mahdollistaa eri lähteistä peräisin olevan datan yhdistämisen, vertailun, siirtämisen ja analysoinnin. Datalähteiden määrän kasvaessa integraatiosta tulee yhä tärkeämpi osa digitaalisen ekosysteemin toimintaa.

Kyberrikollisuus mukautuu nopeasti hyödyntämään uusia työkaluja ja haavoittuvuuksia. Ilmiö säilyttää merkityksensä kybermaailman uhkakuvastossa myös tulevina vuosina.

Mitä API-rajapintahyökkäyksissä tapahtuu?

API-hyökkäykset kohdistuvat sovellusrajapintoihin (Application Programming Interfaces), joita käytetään esimerkiksi mobiilisovellusten, selainkäyttöliittymien ja muiden palvelujen välillä datan siirtämiseen. Hyökkäykset voivat ilmetä muun muassa seuraavin tavoin:

1. Tiedon paljastaminen: Hyökkääjä saa pääsyn tietoihin, joiden ei tulisi olla julkisesti saatavilla.
2. Tietojen manipulointi: API:ta käytetään väärin, esimerkiksi syöttämällä haitallista dataa.
3. Autentikoinnin kiertäminen: Hyökkääjä ohittaa kirjautumiset tai käyttää varastettuja tunnuksia.
4. Palvelunestohyökkäykset (DoS): API ylikuormitetaan, jolloin palvelu hidastuu tai kaatuu.
5. Botit ja skriptit: Automatisoidut hyökkäykset, kuten hinnan kaapiminen tai valheellisten tilien luonti.

Kuvassa havainnollistetaan, miten:

• Hyvälaatuiset pyynnöt (esimerkiksi selaimesta tai mobiilisovelluksesta) kulkevat edge-palvelimien läpi.
• Haitalliset pyynnöt hyökkääjiltä tai boteilta estetään WAAP-suojauksella.
• Rajapinta kommunikoi pilvipalvelujen, on-premises-järjestelmien, mikropalvelujen ja SaaS-palvelujen kanssa.

Miten haavoittuvuuksia voi korjata?

1. Autentikointi ja auktorisointi:
   • Käytä vahvaa autentikointia, kuten OAuth 2.0:aa.
   • Varmista, että käyttäjä voi suorittaa vain roolinsa mukaisia toimintoja.
2. Rate limiting ja throttling:
   • Rajoita, kuinka monta pyyntöä yksittäinen IP-osoite tai käyttäjä voi tehdä tietyssä ajassa.
3. Syötteen validointi:
   • Tarkista huolellisesti kaikki API:lle saapuva data (esimerkiksi SQL-injektioiden estämiseksi).
4. Tokenien käyttö ja elinkaari:
   • Hyödynnä kertakäyttöisiä ja aikarajoitettuja tunnisteavaimia.
5. Salaus:
   • Varmista, että tiedonsiirto on salattu (HTTPS).
   • Älä koskaan lähetä tunnuksia salaamattomana.
6. API Gateway ja WAAP (Web Application and API Protection):
   • Käytä edge-palvelimilla WAAP-ratkaisua haitallisten pyyntöjen estämiseksi.
7. Monitorointi ja lokitus:
   • Seuraa API-kutsujen määrää, lähdettä ja tyyppiä järjestelmällisesti.

Ketä asia koskee?

API-hyökkäykset koskettavat kaikkia organisaatioita, joilla on käytössään API-rajapintoja ja dataintegraatioita. Rajapintojen haavoittuvuudet voivat johtaa muun muassa tietovuotoihin ja liiketoiminnan häiriöihin. Ne voivat vaikuttaa myös loppukäyttäjiin, esimerkiksi identiteettivarkauksien tai tietomurtojen muodossa.

Ohjelmistokehittäjät vastaavat turvallisesta koodista ja API-suunnittelusta, mutta yleensä API-turvallisuuden valvonta ja suojaus kuuluvat yrityksen DevOps- tai SecOps-tiimien vastuulle.

Esimerkkejä API-haavoittuvuuksien tai haittaohjelmien hyödyntämisestä tietojen varastamiseen:

1. Tietoevryn kiristyshaittaohjelmahyökkäys (tammikuu 2024):
   Tietoevryn Ruotsissa sijaitseva datakeskus joutui kiristyshaittaohjelmahyökkäyksen kohteeksi, minkä seurauksena useiden yritysten verkkosivut, kuten Rustan ja Stadiumin, olivat poissa käytöstä myös Suomessa. Hyökkäyksestä epäillään venäläistä Akira-hakkeriryhmää.
2. Venäläismielisten haktivistien palvelunestohyökkäykset (helmikuu 2024):
   Noin 40 suomalaista organisaatiota, mukaan lukien Suomen Pankki, joutuivat palvelunestohyökkäysten kohteeksi. Hyökkäykset olivat osa laajempaa kampanjaa, jonka tavoitteena oli aiheuttaa häiriöitä suomalaisissa palveluissa.
3. NoName-hakkeriryhmän hyökkäykset (toukokuu 2024):
   NoName-ryhmä kohdisti palvelunestohyökkäyksiä suomalaisiin kohteisiin, kuten Keskuskauppakamariin ja Valtioneuvoston julkaisuarkistoon. Vaikka hyökkäykset olivat lyhytkestoisia, ne ilmensivät jatkuvaa uhkaa.
4. Palvelunestohyökkäysten määrä Suomessa:
   Kyberturvallisuuskeskuksen mukaan Suomessa tehdään vuosittain yli 10 000 palvelunestohyökkäystä, jotka kohdistuvat eri organisaatioiden verkkosivuihin ja -palveluihin. Vaikka suurin osa hyökkäyksistä on lyhytkestoisia, ne voivat aiheuttaa merkittäviä häiriöitä.
5. Terveystietojen hakkerointi ja kiristyshaittaohjelmat:
   Maailmalla on yleistynyt terveydenhuollon tietojärjestelmiin kohdistuvat hyökkäykset, joissa varastettuja henkilötietoja käytetään kiristykseen. Suomessa tilanne on ollut toistaiseksi rauhallinen.

Nämä esimerkit osoittavat, että API-rajapintojen ja muiden digitaalisten palvelujen suojaaminen on yhä tärkeämpää myös Suomessa. Organisaatioiden tulisi panostaa kyberturvallisuuteen, kuten vahvaan autentikointiin, liikenteen valvontaan ja säännölliseen haavoittuvuuksien arviointiin suojautuakseen näiltä uhilta. Varaa maksuton kartoitus, niin laitetaan organisaationne tietoturvallisuus kuntoon.

Tutustu tietoturvapalveluihimme