Pojava Smart Mobility usluga i aplikacija dovela je do naglog povećanja upotrebe API-a u automobilskoj industriji. Međutim, ovo povećano oslanjanje na API-e ih je takođe učinilo jednim od najčešćih vektora napada. Prema Gartneru, API-i čine 90% površina napada na web aplikacije.
Bez iznenađenja, slični trendovi se pojavljuju i u prostoru pametne mobilnosti. Nedavni izvještaj o kibernetičkoj bezbjednosti u automobilskoj i pametnoj mobilnosti Upstream Security pokazuje da je ekosistem automobilske i pametne mobilnosti doživio povećanje od 380% incidenata zasnovanih na API-u u 2022. godini u poređenju sa 2021. godini. Dodatno, API-i su činili 12% ukupnih kibernetičkih incidenata u 2022. godini, u odnosu na samo 2% u 2021. godini.
Prilikom ispitivanja aplikacija i usluga za pametnu mobilnost, tim za obavještavanje o pretnjama Upstream-a izvijestio je da je otkriveno da black hat hakeri stoje iza 53% incidenata, što ukazuje na malicioznu namjeru kao pokretačku snagu većine napada povezanih s API-em. Uticaj ovih incidenata nadilazi kršenje podataka i PII, često uzrokujući prekide usluga, lažne aktivnosti, zabrinutost za povjerenje i potencijalni gubitak prihoda.
Usluge mobilnosti vođene podacima preoblikuju tradicionalne modele prihoda u automobilskoj industriji
Posljednjih godina, povezanost vozila je dramatično porasla, uvodeći inovativne mogućnosti prihoda vođene podacima za tradicionalne dioničare automobilske industrije, kao i za nove igrače. Mobilnost je u cjelini postala više povezana, s dijeljenjem vožnje, uslugama iznajmljivanja automobila, pa čak i uslugama upravljanja voznim parkom koje koriste mobilne aplikacije za lak pristup i poboljšano iskustvo potrošačima. Moderni slučajevi korištenja podataka nude kontinuirano praćenje i pomažu dioničarima da uvedu nove funkcije i mogućnosti. Prema istraživanju kompanije McKinsey, 30% prihoda od automobilske industrije će se do 2030. godine pripisati uslugama vođenim podacima i pametnom mobilnošću. Ali za razliku od IT aplikacija, ove inovativne aplikacije i aplikacije vođene podacima u velikoj mjeri koriste API-e koji imaju direktan uticaj na vozila na putu.
Ogromne saobraćajne gužve uzrokovane izmanipulisanim API transakcijama
U 2022. godini vidjeli smo sve sofistikovaniju upotrebu API-a u kibernetičkim napadima na automobile i pametnu mobilnost. Kao vektor napada, API-i privlače pažnju istraživača i hakera jer zahtijevaju relativno nizak prag znanja i automobilske ekspertize. U suštini svođenje barijere ulaska hakera na minimum. Jedna ranjivost u API-u može imati direktan uticaj na milione vozila, u različitim flotama. Snažan primjer lakoće napada i značajnog uticaja može se pronaći u nedavnom incidentu u Evropi: sredinom 2022. godine centar Moskve bio je u zastoju kada je služba za pozivanje vozila maliciozno izmanipulisana da pošalje sve dostupne taksije na jednu lokaciju, uzrokujući višesatne saobraćajne gužve, ometajući slobodu kretanja ljudi i dovodeći u opasnost javnu infrastrukturu i sigurnost. U ovom slučaju, napadačima nije bilo potrebno nikakvo razumijevanje o tome kako vozila rade ili funkcionišu, sve što su trebali učiniti je identifikovati ranjivosti API-a i iskoristiti ih.
WAF nije uvijek dovoljan: razvoj kontekstualnog okvira za sigurnost API-a pametne mobilnosti
Usluge pametne mobilnosti oduvijek su nadgledale i osiguravale API transakcije kako bi se izbjegao gubitak prihoda zbog prevare, zastoja usluga i kompromitovanja privatnih podataka organizacije ili korisnika. Ali, tradicionalna API sigurnosna rešenja imaju značajnu “slijepu tačku” kada je u pitanju pametna mobilnost. Često ne uspijevaju otkriti sofistikovane napade koji utiču na aplikacije za mobilnost, imovinu i potrošače zbog nedostatka kontekstualne analize utjecaja API transakcija na vozila u pokretu.
Osiguravanje snažnog položaja kibernetičke bezbjednosti u ekosistemu pametne mobilnosti zahtijeva proširenje opsega kako bi se uključila kontekstualna analiza stvarnog uticaja API-a na sredstva mobilnosti, uključujući vozila na cesti. Sigurnost API-a se postepeno razvija kako bi takođe integrisala aspekte OT (Operational Technology) koji su u korelaciji između API prometa, transakcija i kontekstualnog stanja pokretnih sredstava kako bi se osigurao snažan položaj kibernetičke bezbjednosti. Cilj su slojevi API otkrivanja, profilisanja i praćenja sa dubokom analizom ponašanja sredstava mobilnosti i uticaja specifične API transakcije na bezbjednost. Kada uzmete u obzir kako se OT sredstva ponašaju drugačije od IT imovine, bilo da se radi o njihovom statusu paljenja, lokaciji ili brzini, možete početi pristupati njihovom osiguranju na kontekstualni način.
Smart Mobility korisnici usvajaju novi pristup osiguravanju transakcija API-a pametne mobilnosti, koji uključuje četiri ključna koraka:
- Mapiranje potencijalne površine napada
- Kontinuirano praćenje API prometa
- Primjenjivanje otkrivanja kontekstualnih anomalija
- Ublažiti i odgovoriti na kibernetičke pretnje
Prvi korak je razumijevanje potencijalne površine napada koja se odnosi na API-e. Ovo zahtijeva inventarizaciju API-a koje koriste usluge, aplikacije i treće strane, iz izvora dokumentacije kao što je Swagger, kao i analizu živog API prometa i transakcija u realnom vremenu. Ova analiza uključuje dokumentirane, nedokumentirane ili čak depresirane API-e koji su aktivni koji bi mogli biti “savršena” pristupna tačka za hakere.
Jednom kada se shvati površina napada, praćenje API prometa pomaže u povećanju položaja kibernetičke bezbjednosti osiguravajući da se sve promjene dokumentuju i detektuju, kao i svaka zloupotreba pogrešnih konfiguracija. Prilikom praćenja prometa API-a mobilnosti u realnom vremenu, važno je uzeti u obzir sposobnost rukovanja razmjerom i složenošću ovih transakcija i prepoznati sva odstupanja od normalnog stanja sredstva. Kada jedan API poziv može pokrenuti motor vozila ili prijaviti lokaciju vozača, kibernetička bezbjednost postaje izuzetno važna.
Budući da su sredstva pametne mobilnosti OT po prirodi, kontekst u kojem se nalaze, njihovo stanje u datom trenutku, može se koristiti za njihovo osiguranje. Bilo koja veća odstupanja ili anomalije u njihovom ponašanju mogu ukazivati na potencijalnu zloupotrebu ili napad. Povezujući stanje imovine sa API prometom, kibernetički timovi mogu razumjeti kontekstualne implikacije i uticaj na aplikacije ili korisnike. Naizgled valjani zahtjevi ponekad mogu biti pokazatelj maliciozne namjere. Na primjer, jedna IP adresa, iako u početku nije sumnjiva, koja šalje zahtjeve na više vozila ili aplikacija za mobilnost, trebala bi odmah pokrenuti sumnju i istragu.
Upstream Security je nedavno napravio korak dalje u kontekstualnoj analizi API transakcija. Oslanja se na robusnog digitalnog blizanca, koji je živa digitalna reprezentacija stanja sredstva, izgrađena na tokovima podataka iz aplikacija, pozadinskih servera, telematskih usluga i još mnogo toga. Kao rezultat toga, nudi sveobuhvatan pregled svih sredstava mobilnosti i korisnika na koje to utiče. Jednom kada se otkrije napad ili pogrešna konfiguracija pomoću jedinstvenog konteksta koji se pruža razumijevanjem stanja imovine, kibernetički timovi mogu efikasno i brzo odgovoriti i ublažiti potencijalne rizike.
Ovaj jedinstveni pristup vođen mobilnošću otvara novi opseg API sigurnosnih aktivnosti u ekosistemu pametne mobilnosti. Kako se inovacije u ovom prostoru kreću tako brzo, uvodeći nove transportne modele, autonomne usluge i opcije dijeljenja vožnje, eliminacija “slijepih tačaka” i dalje će biti glavni izazov.
Izvor: The Hacker News