如今API作為連接服務(wù)和傳輸數(shù)據(jù)的重要通道,已成為數(shù)字時(shí)代的新型基礎(chǔ)設(shè)施,但隨之而來的安全問題也日益凸顯。隨著數(shù)字化技術(shù)的發(fā)展和Web API數(shù)量的爆發(fā)性增長(zhǎng),API面臨的安全攻擊風(fēng)險(xiǎn)比其他類型的攻擊更加復(fù)雜和更難防護(hù)。
(Akamai北亞區(qū)技術(shù)總監(jiān) 劉燁)
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁告訴記者,API在企業(yè)中有著廣泛的應(yīng)用,比如應(yīng)用之間的通信、客戶端API調(diào)用。Akamai 3月份發(fā)布的《潛伏在陰影之中:攻擊趨勢(shì)揭示了API威脅》報(bào)告顯示,API在Web攻擊里面所占的比例越來越高,2023年在所有Web攻擊類型里面,針對(duì)API的攻擊占了將近30%。
API攻擊的新觀察
在區(qū)域分布方面,歐洲的API攻擊占比非常高,然后是北美、亞洲和拉丁美洲。而在行業(yè)方面,商務(wù)行業(yè)包括電商、金融行業(yè)、制造業(yè)等是API攻擊的“重災(zāi)區(qū)”。劉燁解釋說,因?yàn)檫@些行業(yè)與上下游伙伴的業(yè)務(wù)交互大多依靠API調(diào)用。
特別是金融行業(yè),根據(jù)Akamai的互聯(lián)網(wǎng)狀況報(bào)告,從2022年第二季度到2023年第二季度,亞太地區(qū)和日本的金融服務(wù)行業(yè)的Web 應(yīng)用程序和API 攻擊增加了36%,攻擊總數(shù)超過37億次。
劉燁表示,金融行業(yè)之所以是API攻擊的重點(diǎn)目標(biāo)行業(yè),是因?yàn)榻鹑谛袠I(yè)的數(shù)據(jù)非常重要,包括用戶的資金賬戶信息,還有金融行業(yè)的API交互比較復(fù)雜,存在攻擊漏洞。
此外,針對(duì)API,攻擊者大多針對(duì)HTTP協(xié)議本身的漏洞產(chǎn)生攻擊,還有Active Session、數(shù)據(jù)挖掘、本地文件包含的攻擊手段。應(yīng)該說,API的攻擊方式是非常多樣化的,企業(yè)的防護(hù)難度也在增加。
而且OWASP的API Top10安全隱患顯示,API攻擊大多與業(yè)務(wù)邏輯相關(guān),攻擊者通過找到API交互過程中的業(yè)務(wù)邏輯漏洞來發(fā)起攻擊,造成的影響也是巨大的。
“這些攻擊不是原來針對(duì)傳統(tǒng)簽名或特征識(shí)別就可以防護(hù)的攻擊,更多的是要看業(yè)務(wù)邏輯、建立自己的基線和模型。”劉燁說,“做好API安全防護(hù),需要從可視化、評(píng)估漏洞風(fēng)險(xiǎn)和業(yè)務(wù)邏輯三個(gè)方面著手。”
具體來說,API管理需要足夠的可視化,實(shí)現(xiàn)審計(jì)和合規(guī)性要求;API的開發(fā)需要遵循安全實(shí)踐,減少風(fēng)險(xiǎn)點(diǎn)。通過安全產(chǎn)品和更合理的開發(fā),可以大大幫助解決安全隱患。
劉燁表示,許多API的問題可能源于在開發(fā)過程中留下的接口,這些接口可能僅供內(nèi)部調(diào)用或用于部門間協(xié)作。然而,當(dāng)這些接口暴露在公網(wǎng)上時(shí),安全隱患便產(chǎn)生了。
安全問題逐漸從基礎(chǔ)層面轉(zhuǎn)向業(yè)務(wù)邏輯漏洞,針對(duì)業(yè)務(wù)邏輯的攻擊,可以繞過現(xiàn)有的安全手段,直接獲取更有價(jià)值的東西。企業(yè)需要特別關(guān)注與業(yè)務(wù)邏輯相關(guān)的API部分,建立在不同業(yè)務(wù)場(chǎng)景下產(chǎn)生的基線,然后確定哪些是異常情況,也就是找到API和業(yè)務(wù)邏輯的關(guān)聯(lián),哪些是違背了業(yè)務(wù)邏輯的訪問。
Akamai重塑API安全
針對(duì)API攻擊,Akamai提供了API Security產(chǎn)品,可以實(shí)現(xiàn)影子API、易受攻擊的API、API濫用等管理,形成可觀測(cè)的API基線。
劉燁表示,企業(yè)面對(duì)API攻擊,應(yīng)該進(jìn)行如下工作:減少漏洞,進(jìn)行API發(fā)現(xiàn),然后進(jìn)行風(fēng)險(xiǎn)審計(jì)、行為檢測(cè)、響應(yīng)、事后分析。
在減少漏洞方面,我們需要了解哪些用戶訪問了哪些內(nèi)容、訪問了哪些端點(diǎn)以及傳輸了什么內(nèi)容。Akamai API Security產(chǎn)品利用大量離線分析和基于API訪問日志的建模來建立基準(zhǔn)。
Akamai微分段產(chǎn)品可以防止惡意攻擊者在企業(yè)內(nèi)部橫向移動(dòng)至核心系統(tǒng)。因此,結(jié)合API安全標(biāo)準(zhǔn)方法論和網(wǎng)絡(luò)微分段技術(shù),Akamai可以幫助用戶減少漏洞并降低漏洞被利用后的損失。
Akamai把所有的API數(shù)據(jù)鏡像到Data Lake,分析用戶的API訪問行為,并判斷是否存在風(fēng)險(xiǎn),并關(guān)聯(lián)到API防護(hù)機(jī)制阻斷這類型的攻擊。
當(dāng)用戶違反了應(yīng)用邏輯時(shí),應(yīng)能識(shí)別出該用戶。一旦識(shí)別出問題,需要給出防護(hù)措施的指導(dǎo),如限制或中斷用戶訪問。事后分析有助于優(yōu)化整體策略,應(yīng)對(duì)可能的風(fēng)險(xiǎn)和惡意攻擊,提高API安全防護(hù)水平,減少潛在漏洞對(duì)系統(tǒng)的滲透。
人工智能技術(shù)的流行也為API攻防帶來新的影響。在攻擊方面,人工智能可以幫助攻擊者進(jìn)行數(shù)據(jù)挖掘,構(gòu)建自動(dòng)化攻擊,并根據(jù)防御策略調(diào)整自身策略,從而加快試錯(cuò)的速度。在防護(hù)方面,人工智能可以實(shí)現(xiàn)行為分析、異常檢測(cè)、自適應(yīng)策略等。
從安全防護(hù)方面,Akamai利用AI技術(shù)檢測(cè)API漏洞和風(fēng)險(xiǎn),實(shí)現(xiàn)行為分析、自動(dòng)響應(yīng)和策略部署等。劉燁認(rèn)為,企業(yè)建立自己的安全防護(hù)模型需要投入巨大成本,而且企業(yè)的數(shù)據(jù)量通常不足,學(xué)習(xí)樣本不足可能會(huì)影響模型的準(zhǔn)確性。
“在建立安全模型基線方面,數(shù)據(jù)量很重要,這也是Akamai作為守方具有更多優(yōu)勢(shì)的原因,因?yàn)槲覀兛梢钥吹礁鄶?shù)據(jù),更精準(zhǔn)地建立模型。企業(yè)應(yīng)該積極利用第三方資源,將AI應(yīng)用于與業(yè)務(wù)相關(guān)的領(lǐng)域。”劉燁說,“盡管人工智能在許多方面為我們做出了貢獻(xiàn),但最終決策仍然可能需要專業(yè)人員的參與。因此,一個(gè)高效的安全團(tuán)隊(duì)仍然至關(guān)重要,他們可以利用安全技術(shù),更好地識(shí)別問題,并制定策略和操作方法。”
面對(duì)API安全挑戰(zhàn),企業(yè)應(yīng)該采取更加積極主動(dòng)的防護(hù)措施,減少漏洞并實(shí)施行為分析、響應(yīng)和事后分析。通過加強(qiáng)對(duì)API安全的關(guān)注和投入,企業(yè)可以更好地保護(hù)其API,守護(hù)核心數(shù)據(jù)資產(chǎn)。(來源: 至頂網(wǎng)網(wǎng)絡(luò)與安全頻道)
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )