2022年API成為惡意攻擊首選 企業(yè)如何保護(hù)API安全？

隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的蓬勃發(fā)展，越來(lái)越多的應(yīng)用開(kāi)發(fā)深度依賴于API之間的相互調(diào)用。特別是疫情常態(tài)化后，協(xié)同辦公、在線教育、直播短視頻等線上應(yīng)用蓬勃發(fā)展，API在其中既能夠起到連接服務(wù)的功能，又可以用來(lái)傳輸數(shù)據(jù)，隨著API的絕對(duì)數(shù)量持續(xù)增長(zhǎng)，通過(guò)API傳遞的數(shù)據(jù)量也飛速增長(zhǎng)。據(jù)瑞數(shù)信息《2021 Bots自動(dòng)化威脅報(bào)告》顯示，作為一種輕量化的技術(shù)，API在全球范圍內(nèi)受到企業(yè)組織的高度青睞，應(yīng)用接口呈現(xiàn)爆發(fā)式增長(zhǎng)。相比2019年，2020年API流量同比增長(zhǎng)2.8倍，44%的企業(yè)正在建造和維護(hù)100個(gè)或更多的API。
與此同時(shí)，API也正成為攻擊者重點(diǎn)光顧的目標(biāo)。據(jù)Salt Security《State of API Security Report, Q3 2021》報(bào)告顯示，2021年上半年，整體API流量增長(zhǎng)了141%，API攻擊流量則增長(zhǎng)了348%，針對(duì)API的攻擊流量正在以普通API流量的3倍速度增長(zhǎng)。報(bào)告還發(fā)現(xiàn)，安全問(wèn)題在API項(xiàng)目關(guān)注的名單中名列前茅，很少有受訪者認(rèn)為他們有信心識(shí)別和阻止API攻擊。
這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面，一旦成功攻擊API，就能獲取大量企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)。除此之外，很多企業(yè)并不清楚自己擁有多少API，也并不能保證每個(gè)API都具有良好的訪問(wèn)控制，被遺忘的影子API和僵尸API，為攻擊者提供了唾手可得的機(jī)會(huì)。相對(duì)于傳統(tǒng)Web窗體，攻擊API的成本更低、價(jià)值更高。
正因如此，2021年發(fā)生了很多重量級(jí)的API攻擊事件，引發(fā)了社會(huì)各界的廣泛關(guān)注，例如：黑客通過(guò)API漏洞入侵了7億多Linkedln用戶的數(shù)據(jù)，并在暗網(wǎng)上出售這些數(shù)據(jù)；黑客攻擊Parler網(wǎng)站的API安全漏洞，非法獲得1000萬(wàn)用戶超過(guò)60TB的數(shù)據(jù)；Clubhouse因API安全漏洞泄露了130萬(wàn)條用戶記錄。
可以預(yù)見(jiàn)，2022年針對(duì)API的攻擊將成為惡意攻擊者的首選，越來(lái)越多的黑客利用API竊取敏感數(shù)據(jù)并進(jìn)行業(yè)務(wù)欺詐，為API構(gòu)建安全防護(hù)體系已勢(shì)在必行。

新興網(wǎng)絡(luò)威脅下，傳統(tǒng)API網(wǎng)關(guān)局限性凸顯

一個(gè)嚴(yán)峻的事實(shí)是，API發(fā)展到現(xiàn)在，授權(quán)認(rèn)證體系已經(jīng)比較完善，但是在授權(quán)之后訪問(wèn)的控制相對(duì)薄弱。管控的顆粒度因API接口業(yè)務(wù)需要而不同，在帶來(lái)訪問(wèn)便利的同時(shí)，也可能被惡意利用，帶來(lái)信息泄漏和被濫用的風(fēng)險(xiǎn)。API設(shè)計(jì)之初就是為程序調(diào)用準(zhǔn)備的，天然是工具行為，利用自動(dòng)化工具通過(guò)合法授權(quán)下的API濫用,已成為API攻擊的難題。從API的提供方角度，為使用和管理的方便，過(guò)度的API開(kāi)放和寬泛的API調(diào)用參數(shù)返回，既可能被惡意利用，也可能無(wú)形中造成信息泄漏和被濫用的風(fēng)險(xiǎn)。因此傳統(tǒng)API安全網(wǎng)關(guān)提供的身份認(rèn)證、權(quán)限管控、速率限制、請(qǐng)求內(nèi)容校驗(yàn)等安全機(jī)制幾乎無(wú)用武之地。
例如，身份認(rèn)證機(jī)制可能存在單因素認(rèn)證、無(wú)口令強(qiáng)度要求、密碼明文傳輸?shù)劝踩[患，而訪問(wèn)授權(quán)機(jī)制風(fēng)險(xiǎn)通常表現(xiàn)為用戶權(quán)限大于其實(shí)際所需權(quán)限。同時(shí)，即使建立了身份認(rèn)證、訪問(wèn)授權(quán)、敏感數(shù)據(jù)保護(hù)等機(jī)制，有時(shí)仍無(wú)法避免攻擊者以機(jī)器模擬正常用戶行為、運(yùn)用大量代理IP進(jìn)行大規(guī)模攻擊等多種方式來(lái)避免速率限制。
在如今互聯(lián)網(wǎng)的開(kāi)放場(chǎng)景下，API的應(yīng)用和部署面向個(gè)人、企業(yè)、組織機(jī)構(gòu)等不同用戶群，是外部網(wǎng)絡(luò)攻擊的主要對(duì)象之一，因此更需時(shí)刻警惕外部安全威脅。針對(duì)API的常見(jiàn)網(wǎng)絡(luò)攻擊包括：重放攻擊、DDoS 攻擊、注入攻擊、會(huì)話 cookie 篡改、中間人攻擊、內(nèi)容篡改、參數(shù)篡改等，這些新型的安全威脅正在變得更加復(fù)雜化、多樣化、隱蔽化、自動(dòng)化。
然而，隨著API訪問(wèn)環(huán)境的愈發(fā)開(kāi)放、API數(shù)量的極速攀升，以及API本身的快速變化，早期的防護(hù)技術(shù)，如基于規(guī)則的傳統(tǒng)WAF防護(hù)技術(shù)、API網(wǎng)關(guān)的身份認(rèn)證和鑒權(quán)技術(shù)，已經(jīng)無(wú)法滿足現(xiàn)有對(duì)于API接口被濫用、越權(quán)訪問(wèn)、僵尸API、信息泄漏等安全問(wèn)題的防護(hù)需求，新一代基于動(dòng)態(tài)技術(shù)、Bots識(shí)別、行為分析的融合防護(hù)體系逐步興起。

瑞數(shù)API安全管控平臺(tái) 助力企業(yè)打贏API保衛(wèi)戰(zhàn)

有別于很多從API安全網(wǎng)關(guān)角度切入的安全廠商，瑞數(shù)信息以AI人工智能為支撐的行為分析技術(shù)作為突破口，推出一種新興API融合防護(hù)方案——瑞數(shù)API安全管控平臺(tái)(API BotDefender)，集成了API資產(chǎn)發(fā)現(xiàn)、攻擊檢測(cè)、參數(shù)合規(guī)檢測(cè)、行為檢測(cè)、敏感數(shù)據(jù)識(shí)別、異常行為攔截處置等功能，覆蓋了從資產(chǎn)發(fā)現(xiàn)到攔截處置的全鏈條。
具體而言，瑞數(shù)API安全管控平臺(tái)(API BotDefender)包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問(wèn)行為管控四大模塊，每個(gè)模塊可以獨(dú)立工作，也可以協(xié)同工作，為API接口提供完整的安全管控方案。
API資產(chǎn)管理
由于API數(shù)量增長(zhǎng)太快，很多企業(yè)都不清楚自己擁有多少個(gè)API，以及API處于什么樣的狀態(tài)。如果沒(méi)有深度的API資產(chǎn)梳理，安全團(tuán)隊(duì)根本無(wú)法了解企業(yè)API的真實(shí)資產(chǎn)情況，也無(wú)法預(yù)估數(shù)據(jù)暴露的風(fēng)險(xiǎn)。
因此，瑞數(shù)信息引入API資產(chǎn)管理，通過(guò)對(duì)訪問(wèn)流量進(jìn)行分析，自動(dòng)發(fā)現(xiàn)流量中的API接口，對(duì)API接口進(jìn)行自動(dòng)識(shí)別、梳理和分組。同時(shí)，通過(guò)從API網(wǎng)關(guān)上獲取API注冊(cè)數(shù)據(jù)，與API資產(chǎn)進(jìn)行對(duì)比，從而發(fā)現(xiàn)未知API接口。

API攻擊防護(hù)

通過(guò)自動(dòng)化、多樣化的API網(wǎng)絡(luò)攻擊，黑客不僅可以達(dá)到消耗系統(tǒng)資源、中斷服務(wù)的目的，還可以通過(guò)逆向工程，掌握 API 應(yīng)用、部署情況，并監(jiān)聽(tīng)未加密數(shù)據(jù)傳輸，竊取企業(yè)數(shù)據(jù)。
對(duì)此，瑞數(shù)信息綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測(cè)引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測(cè)威脅攻擊。智能威脅檢測(cè)引擎能在用戶與應(yīng)用程序交互的過(guò)程中收集數(shù)據(jù)，并利用統(tǒng)計(jì)模型來(lái)確定HTTP請(qǐng)求的異常。一旦確定異常情況，智能引擎就會(huì)使用機(jī)器學(xué)習(xí)獲得的多種威脅模型來(lái)確定異常攻擊，并對(duì)安全攻擊進(jìn)行實(shí)時(shí)防護(hù)。同時(shí)，對(duì)API請(qǐng)求參數(shù)進(jìn)行合規(guī)管控，對(duì)不符合規(guī)范的請(qǐng)求參數(shù)實(shí)時(shí)管控。

敏感數(shù)據(jù)管控

如果企業(yè)未對(duì)敏感信息等數(shù)據(jù)進(jìn)行脫敏處理，且未加密傳輸，一旦流量被截獲、破解，將對(duì)企業(yè)、公民個(gè)人權(quán)益造成嚴(yán)重影響。此外，未脫敏數(shù)據(jù)在傳輸至前端時(shí)，如被接收方終端緩存，也可能導(dǎo)致敏感數(shù)據(jù)暴露。
瑞數(shù)API安全管控平臺(tái)(API BotDefender)因此會(huì)對(duì)API傳輸中，諸如手機(jī)號(hào)、銀行卡號(hào)、身份證號(hào)等的敏感數(shù)據(jù)進(jìn)行識(shí)別和過(guò)濾，并可以針對(duì)敏感數(shù)據(jù)進(jìn)行脫敏或者實(shí)時(shí)攔截，規(guī)避數(shù)據(jù)安全風(fēng)險(xiǎn)。

訪問(wèn)行為管控模塊

如今API攻擊多以合法身份登錄后，模擬正常操作、多源低頻請(qǐng)求，因此企業(yè)很難察覺(jué)訪問(wèn)行為是否異常。
瑞數(shù)API安全管控平臺(tái)(API BotDefender)通過(guò)建立多維度訪問(wèn)基線和API威脅建模，對(duì)API接口的訪問(wèn)行為進(jìn)行監(jiān)控和分析。一方面，監(jiān)控基線偏離狀況，針對(duì)高頻情況等進(jìn)行防護(hù)，防止高頻情況等造成的API性能瓶頸；另一方面，高效識(shí)別異常訪問(wèn)行為，避免惡意訪問(wèn)造成的業(yè)務(wù)損失。
同時(shí)，為了防止非法API調(diào)用，瑞數(shù)API安全管控平臺(tái)(API BotDefender)通過(guò)從API網(wǎng)關(guān)上獲取API認(rèn)證和鑒權(quán)數(shù)據(jù)，防止未授權(quán)的API調(diào)用，保障API接口只能被合法用戶訪問(wèn)。
總體而言，相較于傳統(tǒng)API安全方案，瑞數(shù)API安全管控平臺(tái)(API BotDefender)著重強(qiáng)調(diào)API安全防護(hù)能力的提升，以行為分析為基礎(chǔ)實(shí)現(xiàn)從API接入客戶端到API服務(wù)器端的全程式API安全威脅防護(hù)，其優(yōu)勢(shì)也十分明顯：
PI全自動(dòng)發(fā)現(xiàn)
瑞數(shù)API安全管控平臺(tái)(API BotDefender)的“Discover發(fā)現(xiàn)模塊”，可以快速自動(dòng)地發(fā)現(xiàn)API，并且針對(duì)發(fā)現(xiàn)的API給出明確的認(rèn)定;同時(shí)，顯示出清晰的API列表，對(duì)API接口的訪問(wèn)情況一目了然。

構(gòu)建API畫(huà)像

瑞數(shù)API安全管控平臺(tái) (API BotDefender)，采用全程式安全威脅防護(hù)技術(shù)，從而利于精準(zhǔn)地構(gòu)建API畫(huà)像；通過(guò)API畫(huà)像，可以快速預(yù)覽各個(gè)業(yè)務(wù)的API情況，包括使用情況、異常情況、訪問(wèn)來(lái)源等。

API全渠道感知
提供各種SDK，方便與各類API來(lái)源應(yīng)用進(jìn)行集成，可以對(duì)來(lái)源環(huán)境和用戶行為進(jìn)行感知。

動(dòng)態(tài)響應(yīng)防護(hù)

可根據(jù)行為分析的結(jié)果或指定條件，進(jìn)行動(dòng)態(tài)響應(yīng)防護(hù)，提升通過(guò)逆向探測(cè)或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。
此外，瑞數(shù)API安全管控平臺(tái) (API BotDefender)的部署方式非常靈活，支持軟件、硬件和云的方式進(jìn)行部署，可以大大降低部署、管理和維護(hù)成本。同時(shí)，占用資源少，不影響服務(wù)器的正常運(yùn)行，可以實(shí)現(xiàn)應(yīng)用無(wú)感知部署。
目前，瑞數(shù)信息憑借其突出的技術(shù)實(shí)力和防護(hù)能力，其產(chǎn)品在金融、政府、運(yùn)營(yíng)商三大行業(yè)得到了成功應(yīng)用，“瑞數(shù)API安全管控解決方案”更榮獲“2021金融業(yè)新技術(shù)應(yīng)用創(chuàng)新突出貢獻(xiàn)獎(jiǎng)”，表明了行業(yè)客戶對(duì)瑞數(shù)技術(shù)創(chuàng)新能力和優(yōu)異應(yīng)用效果的充分認(rèn)可。在API安全日益重要的今天，如瑞數(shù)API BotDefender這類具備先進(jìn)防護(hù)策略和創(chuàng)新技術(shù)的API安全產(chǎn)品，可以更好地幫助企業(yè)應(yīng)對(duì)未知威脅、安全管控API，保證業(yè)務(wù)的正常高效運(yùn)轉(zhuǎn)。
文字轉(zhuǎn)載自金融界