Вчера разбирали инцидент с утечкой данных через недокументированный API. Клиентский портал, 3 часа ночи, алерты в Splunk. Очередной случай, когда dev оставили бекдор «для тестирования» и забыли про него. Пишу чеклист, чтобы не повторяли:
- Инвентаризация API: если у вас нет полного списка эндпоинтов с метаданными (авторизация, чувствительность данных), значит, вы уже проиграли
- Жёсткий ротационный график ревью кода: все API-ручки должны проходить проверку перед релизом и каждые 3 месяца после
- Мониторинг аномальных запросов: нестандартные User-Agent + высокий RPS с одного IP = красный флаг
Особенно бесит, когда после таких кейсов начинают кричать «нужно больше AI в SOC». Нет. Нужен базовый чеклист по API и дисциплина.
P.S. Чай «Ассам» сегодня не спасает от настроения.
- Жёсткий ротационный график ревью кода: все API-ручки должны проходить проверку перед релизом и каждые 3 месяца после