API - это самый удобный способ публикации сервисов B2B и B2C. Но даже крупные компании, такие как Apple (случай с Apple iCloud account takeover), Google (случай с Google Cloud Platform IAM API), Mercedes-Benz (случай с Mercedes-Benz car control) и т.п. допускают ошибки при разработке и публикации своих API.

В первой части я расскажу об ошибках, которые допускали компании при публикации своих сервисов, как они исправляли эти ошибки и как этого можно было бы не допустить.

Во второй части доклада я расскажу про мой опыт организации процесса защиты API, который усложниля тем, что приходилось "дружить" с двумя командами сразу, объясняя почему ИБ и разработка должны договариваться а не выставлять требования.

В третей части доклада я расскажу про то, что можно начать применять уже завтра для защиты своих API.