एपीआई आधुनिक समय के अनुप्रयोगों के लिए बिल्डिंग ब्लॉक्स हैं और कम्पोज़ेबल एंटरप्राइज़ मॉडल और डिजिटल प्लेटफ़ॉर्म ड्राइव करते हैं। जैसा कि अधिक संगठन एपीआई एकीकरण के महत्व को समझते हैं, एपीआई का उपयोग आसमान छू रहा है।
वर्तमान में, वैश्विक स्तर पर उपयोग में आने वाले सार्वजनिक और निजी एपीआई की कुल संख्या लगभग 200 मिलियन होने का अनुमान है। चूंकि एपीआई बहुत महत्वपूर्ण हैं और डिजाइन द्वारा, वे डेटा, संसाधनों और कार्यात्मकताओं तक त्वरित, आसान पहुंच प्रदान करते हैं; ऐसा कोई रास्ता नहीं है कि हमलावर उन्हें याद करेंगे। और बॉट्स हमलावरों के शस्त्रागार में महत्वपूर्ण उपकरण हैं, वे एपीआई बॉट हमलों को ऑर्केस्ट्रेट करने के लिए बॉट्स का लाभ उठा रहे हैं।
एपीआई बॉट हमले वास्तव में क्या हैं? एपीआई एस पर हमला करने के लिए खतरे वाले अभिनेता बॉट्स का उपयोग कैसे करते हैं? आप अपने एपीआई को बॉट्स से कैसे बचाते हैं? पता लगाने के लिए पढ़ते रहे।
एपीआई बॉट हमले क्या हैं, इस पर ध्यान देने से पहले आइए पहले बॉट्स की मूल बातें समझें।
बॉट स्वायत्त प्रोग्राम हैं जिनका उपयोग मशीन-टू-मशीन संचार के लिए किया जाता है। उन्हें मानव हस्तक्षेप के बिना कार्य करने और वेब अनुरोधों को पूरा करने के लिए प्रोग्राम किया जा सकता है। यह IP एड्रेस से HTTP ट्रैफिक को सिस्टम में भेजता है। बोटनेट बॉट्स का एक संग्रह है जो एक साथ काम करते हैं और कई आईपी पतों का लाभ उठा सकते हैं। बॉटनेट का आकार कुछ सौ से लेकर कई हजार आईपी पतों तक भिन्न होता है।
एक बॉट हमले में, दुर्भावनापूर्ण अभिनेता किसी लक्ष्य वेबसाइट, ऐप, एंड-यूज़र, या एपीआई में हेरफेर करने, धोखा देने या बाधित करने के लिए बॉट्स का लाभ उठाते हैं। बॉट हमलों को शुरू में स्पैमिंग लक्ष्यों के लिए इस्तेमाल किया गया था। लेकिन आज, वे बहुत अधिक परिष्कृत हो गए हैं और जटिल हमले कर सकते हैं जो मानव व्यवहार की बारीकी से नकल करते हैं।
जब ये स्वचालित प्रोग्राम विशेष रूप से एपीआई पर हमला करने के लिए लीवरेज किए जाते हैं या जब हमलावर एपीआई हमलों के पैमाने, प्रभाव और परिष्कार को बढ़ाने के लिए बॉट्स का लाभ उठाते हैं, तो यह एपीआई बॉट हमला होता है।
साइबर अटैक में बॉट्स का इस्तेमाल युगों से होता आ रहा है। लेकिन जब एपीआई के खिलाफ उनका इस्तेमाल किया जाता है तो यह चिंता का कारण क्यों है? ऐसा इसलिए है क्योंकि एपीआई को विविध ऐप्स को जोड़ने, डेटा, संसाधनों आदि तक प्रोग्रामेटिक एक्सेस प्रदान करने और कई क्लाइंट्स द्वारा आसान एकीकरण और साझाकरण को सक्षम करने के लिए डिज़ाइन किया गया है। अपने स्वभाव से, वे उच्च-मूल्य वाली कार्यात्मकताओं और व्यावसायिक तर्क को उजागर करते हैं और संसाधनों को खोजने योग्य बनाते हैं। इस प्रकार, वे संवेदनशील जानकारी के संपर्क में आने के जोखिम को बढ़ाते हैं।
एपीआई बॉट हमलों के लिए आकर्षक लक्ष्य हैं क्योंकि संगठनों के जीवनचक्र में एपीआई में दृश्यता की कमी है। और यह तथ्य कि वे पर्दे के पीछे काम करते हैं, बहुत ज्यादा मदद नहीं करता है। जब आप नहीं जानते कि आपके आर्किटेक्चर में एपीआई मौजूद हैं, तो आप उनकी जांच, प्रबंधन और सुरक्षा कैसे करेंगे? यह आपको कई कमजोर, छाया, ज़ोंबी, बदमाश और गलत एपीआई के साथ छोड़ देता है। नतीजतन, वे पारंपरिक समापन बिंदुओं की तुलना में अक्सर कम सुरक्षित होते हैं और आपके जोखिमों को तेजी से बढ़ाते हैं।
जब आप इस मिश्रण में बॉट्स जोड़ते हैं तो आपके पास आपदा का नुस्खा होता है। हो सकता है कि संगठनों को पता न हो कि कौन से एपीआई मौजूद हैं, उनका उपयोग कौन कर रहा है, उनके पास किन संसाधनों तक पहुंच है और वे किस व्यावसायिक तर्क का खुलासा करते हैं। लेकिन थ्रेट एक्टर्स संगठन के आईटी आर्किटेक्चर को मैप करने और एपीआई में कमजोर स्थानों के लिए जासूसी करने के लिए बॉट्स का लाभ उठाते हैं। बॉट्स वास्तव में हमलावरों के लिए प्रक्रिया को त्वरित, आसान और चुस्त बनाते हैं।
बॉट्स का उपयोग एपीआई हमलों के लिए भी किया जाता है क्योंकि वे बेहद गुप्त हो सकते हैं और पारंपरिक सुरक्षा उपकरणों द्वारा पता लगाने से बच सकते हैं। वास्तव में, आज के अधिक परिष्कृत बॉट भी अधिक उन्नत सुरक्षा उपकरणों द्वारा पता लगाने से बच सकते हैं।
उदाहरण के लिए, आपने तीन असफल लॉगिन प्रयासों के बाद किसी खाते को फ्रीज करने के लिए अपने एपीआई प्रमाणीकरण नियमों को अस्थायी रूप से ट्यून किया हो सकता है। क्रेडेंशियल-स्टफिंग हमले में दो असफल प्रयासों के बाद बॉट बस दूसरे आईपी पते पर चले जाएंगे। बुद्धिमान स्वचालन का उपयोग करते हुए, वे यह सब मानवीय हस्तक्षेप के बिना करते हैं, समय के साथ उनके द्वारा प्रोग्राम किए गए नियमों और उनके सीखने के आधार पर चलते-फिरते निर्णय लेते हैं।
एपीआई बॉट हमलों को अक्सर अन्य प्रकार के एपीआई दुरुपयोग को ऑर्केस्ट्रेट करने वाले हमलावरों द्वारा ध्यान भंग या स्मोकस्क्रीन के रूप में उपयोग किया जाता है। उदाहरण के लिए, हमलावर बॉटनेट का लाभ उठा सकते हैं ताकि सुरक्षा टीमों को अनुवर्ती कार्रवाई के लिए हजारों सुरक्षा अलर्ट ट्रिगर किए जा सकें। लेकिन उनका इरादा आईडी की गणना करना है जबकि सुरक्षा दल सुरक्षा अलर्ट की जांच करते हैं।
धमकी देने वाले एपीआई पर हमला करने के लिए बॉट्स का लाभ उठाते हैं क्योंकि यह प्रक्रिया में बेजोड़ गति, लचीलापन और चपलता प्रदान करता है। उदाहरण के लिए, क्रेडेंशियल स्टफिंग या ब्रूट फ़ोर्स अटैक को सुरक्षा उपायों को बंद किए बिना मैन्युअल रूप से नहीं बनाया जा सकता है। लेकिन बॉट्स ब्रूट फोर्सिंग और क्रेडेंशियल स्टफिंग को त्वरित, आसान और स्केलेबल बनाते हैं।
यहां एक और उदाहरण दिया गया है कि कैसे बॉट हमलावरों को एपीआई को लक्षित करने में मदद करते हैं। हमलावर बड़ी मात्रा में एपीआई अनुरोधों को प्रमाणीकरण के बिना एक समापन बिंदु पर भेज सकते हैं और थोड़े समय के भीतर बड़ी मात्रा में डेटा एकत्र कर सकते हैं।
नियमित बॉट हमलों के साथ भी पारंपरिक सुरक्षा उपकरणों की कमी पाई जाती है। लेकिन वे एपीआई बॉट हमलों को रोकने में अधिक अप्रभावी हैं क्योंकि वे विशेष रूप से एपीआई के लिए डिज़ाइन नहीं किए गए हैं। सबसे पहले, पारंपरिक उपकरण प्रभावी रूप से बॉट और मानव गतिविधि के बीच और अच्छी और बुरी बॉट गतिविधि के बीच अंतर नहीं कर सकते हैं। यह बॉट-आधारित हमलों के खिलाफ एपीआई की रक्षा करने की उनकी क्षमता को गंभीर रूप से सीमित करता है।
दूसरे, बॉट्स द्वारा छोड़े जाने वाले कम सुरागों और एपीआई द्वारा एकत्र किए जाने वाले कम विवरणों के साथ, पारंपरिक उपकरण प्रभावी रूप से यह तय नहीं कर सकते हैं कि एपीआई कॉल दुर्भावनापूर्ण है या वैध। अनिवार्य रूप से, बॉट्स उसी डेटा का अनुरोध करते हैं जैसे वे ब्राउज़र हमलों के साथ करते हैं।
अंतर यह है कि एपीआई बॉट हमले बॉट गतिविधि का पता लगाने के लिए पारंपरिक उपकरणों द्वारा उपयोग किए जाने वाले ब्राउज़र संस्करण, उपयोग की जाने वाली कुकीज़, डिवाइस प्रकार आदि के बारे में कोई जानकारी नहीं देते हैं। चूंकि एपीआई हमले पूरी तरह से आभासी हैं, बॉट्स हमलों के चारों ओर घूम सकते हैं, विभिन्न बादलों के बीच घूम सकते हैं, आईपी पते घुमा सकते हैं, प्रॉक्सी नेटवर्क का उपयोग कर सकते हैं, और पारंपरिक सुरक्षा को दूर करने के लिए और भी बहुत कुछ कर सकते हैं।
डेवलपर्स सामान्य नियमों का उपयोग करते हैं और व्यापार तर्क पर विचार किए बिना एपीआई को डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ छोड़ देते हैं। यह व्यापार तर्क दोष पैदा करता है बॉट उचित प्रतीत होने वाले एपीआई अनुरोधों के माध्यम से पता लगाने से बचते हुए कहर बरपा सकता है।
मोबाइल और वेब एप्लिकेशन पर बॉट के हमलों की तुलना में एपीआई पर बॉट के हमले बहुत आसान और अधिक लागत प्रभावी हैं। जबकि अलग-अलग ऐप्स को अलग-अलग दृष्टिकोण और बॉट क्षमताओं की आवश्यकता होती है, हमलावर प्रत्यक्ष और वेब एपीआई के लिए समान बुनियादी ढांचे और हमले तंत्र का उपयोग कर सकते हैं। साथ ही, एपीआई हमलावरों को मुख्य आईटी बुनियादी ढांचे और महत्वपूर्ण संपत्तियों तक पहुंचने में सक्षम बनाता है।
इसके अलावा, बॉट्स, बॉटनेट्स और अटैक टूलकिट किराए पर लेने के लिए और अक्सर कम कीमतों पर आसानी से उपलब्ध हैं। इसलिए, एपीआई बॉट हमलों को माउंट करने के लिए हमलावरों को बहुत अधिक संसाधनों या गहन तकनीकी ज्ञान की आवश्यकता नहीं होती है।
टोही: हमलावर कमजोर एपीआई समापन बिंदुओं का पता लगाने, परीक्षण का पता लगाने की सीमा, हमले की सतह को मैप करने आदि के लिए बॉट्स और बॉटनेट का लाभ उठाते हैं।
आक्रमण: एपीआई पर हमला करने के लिए बॉट और बॉटनेट का उपयोग किया जाता है। कुछ सामान्य एपीआई बॉट हमले हैं क्रेडेंशियल स्टफिंग, ब्रूट फ़ोर्स अटैक, कंटेंट स्क्रैपिंग अटैक, इंजेक्शन आदि।
अपवंचन: एपीआई-आधारित हमलों में, बॉट्स और बॉटनेट्स का भी हमलावरों द्वारा लाभ उठाया जाता है ताकि वे अपने चोरी-छिपे व्यवहार के माध्यम से या विकर्षण पैदा करके सुरक्षा सुरक्षा से बच सकें।