企業(yè)的上云和數(shù)字化轉(zhuǎn)型,將越來(lái)越多的業(yè)務(wù)運(yùn)行于網(wǎng)絡(luò)之上。為適應(yīng)敏捷開(kāi)發(fā)等新型應(yīng)用架構(gòu),API的使用數(shù)量更加普遍并持續(xù)增長(zhǎng)。企業(yè)的應(yīng)用開(kāi)發(fā)越來(lái)越依賴(lài)API之間的相互調(diào)用,同時(shí)通過(guò)API傳遞的數(shù)據(jù)量也隨之迅速增長(zhǎng)。
不可避免地,暴露于網(wǎng)絡(luò)中的企業(yè)應(yīng)用API亦成為惡意攻擊者的目標(biāo)。近年來(lái),與API攻擊相關(guān)的數(shù)據(jù)泄露事件屢見(jiàn)不鮮,其中不乏企業(yè)重要業(yè)務(wù)數(shù)據(jù)甚至個(gè)人身份數(shù)據(jù)等敏感信息,給企業(yè)帶來(lái)極大的數(shù)據(jù)安全威脅。
API安全不容樂(lè)觀
雖然我們已經(jīng)發(fā)現(xiàn)并且感知到API安全風(fēng)險(xiǎn),但又不得不面對(duì)的是,事實(shí)已證明傳統(tǒng)的安全技術(shù)并不能有效地阻止API攻擊,企業(yè)需要在全新的安全防護(hù)方法。
據(jù)Gartner的一份預(yù)測(cè)報(bào)告,2022年起API已成為網(wǎng)絡(luò)攻擊者利用最頻繁的媒介載體之一,而通過(guò)攻擊API可以非授權(quán)使用企業(yè)的各類(lèi)應(yīng)用數(shù)據(jù),并且由API安全問(wèn)題引起的數(shù)據(jù)泄露風(fēng)險(xiǎn)在2024年將翻倍。
頻出的API攻擊事件不斷向我們證明, API治理不當(dāng)導(dǎo)致的攻擊、欺詐以及數(shù)據(jù)泄露風(fēng)險(xiǎn)正在對(duì)企業(yè)的構(gòu)成新的安全挑戰(zhàn)。同時(shí),在AI技術(shù)的發(fā)展,被濫用的AI讓攻擊手段越來(lái)越自動(dòng)化甚至智能化, API攻擊更快、更準(zhǔn)確,API面臨的威脅越來(lái)越復(fù)雜化。
Akamai最新發(fā)布的《潛伏在陰影之中:攻擊趨勢(shì)揭示了 API 威脅》報(bào)告證實(shí),API在Web攻擊里面所占的比例越來(lái)越高,2023年在所有的Web攻擊類(lèi)型里面針對(duì)API的攻擊占了將近30%。
Akamai北亞區(qū)技術(shù)總監(jiān) 劉燁
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁表示,這個(gè)比例可能還會(huì)繼續(xù)增高,因?yàn)樵絹?lái)越多的流量也會(huì)變成這種API的流量,比如很多原生的手機(jī)應(yīng)用跟數(shù)據(jù)中心之間都會(huì)通過(guò)API做數(shù)據(jù)傳輸。
針對(duì)于API的攻擊方法和攻擊向量非常多樣化,這對(duì)于企業(yè)來(lái)說(shuō)要保護(hù)應(yīng)用API的難度大大增加,因?yàn)橐紤]的方面非常多,劉燁解釋道:API防御可能會(huì)面臨更大的挑戰(zhàn)。企業(yè)要找到業(yè)務(wù)邏輯可能會(huì)出現(xiàn)的漏洞,然后去降低風(fēng)險(xiǎn),降低企業(yè)遭受攻擊所造成的損失。
基于業(yè)務(wù)場(chǎng)景攻防
正如劉燁所述,與傳統(tǒng)Web應(yīng)用的防護(hù)不同,API的安全防護(hù)要求更為廣泛,往往是深入到業(yè)務(wù)邏輯中,并且涉及到多個(gè)環(huán)節(jié),對(duì)任何環(huán)節(jié)的監(jiān)測(cè)不足都會(huì)影響到整體的安全防護(hù)效果。
企業(yè)如何著手做API防護(hù)?劉燁特別建議要重點(diǎn)考慮三個(gè)方面的問(wèn)題。
第一,可視性。企業(yè)應(yīng)該給予API足夠的可視性。比如對(duì)于一些API接口的開(kāi)發(fā)過(guò)程,開(kāi)發(fā)人員通過(guò)這個(gè)接口在開(kāi)發(fā)、測(cè)試、上線的時(shí)候會(huì)更容易取得某些數(shù)據(jù),但是當(dāng)開(kāi)發(fā)者離開(kāi)以后,這些接口是不是仍然存在,其實(shí)不一定有完整的審計(jì),也不一定有安全開(kāi)發(fā)合規(guī)性流程。這種情況下,當(dāng)這些API推到互聯(lián)網(wǎng)以后就可能不具備足夠的可視性。
第二,漏洞風(fēng)險(xiǎn)。企業(yè)要了解上線的應(yīng)用里,易遭受攻擊的風(fēng)險(xiǎn)點(diǎn)到底有哪些,會(huì)不會(huì)出現(xiàn)一些已知的漏洞等等。這就要求企業(yè)要遵循最佳實(shí)踐去開(kāi)發(fā),最大化減少漏洞的出現(xiàn),從而減少風(fēng)險(xiǎn)點(diǎn)。
第三,業(yè)務(wù)邏輯。API攻擊的變化多樣不是針對(duì)于應(yīng)用本身的,而是針對(duì)業(yè)務(wù)邏輯的。因?yàn)檫@種針對(duì)業(yè)務(wù)邏輯的攻擊,可能獲取更具價(jià)值的東西。所以在業(yè)務(wù)邏輯方面,企業(yè)需要建立在不同業(yè)務(wù)場(chǎng)景下產(chǎn)生的基線,然后確定哪些是異常情況。
劉燁繼續(xù)解釋道:所有的業(yè)務(wù)場(chǎng)景可以分為幾個(gè)部分,首先是API的隱患,如果是注入類(lèi)型的隱患,它與業(yè)務(wù)場(chǎng)景關(guān)系不大,但與API的開(kāi)發(fā)技術(shù)相關(guān)。當(dāng)使用標(biāo)準(zhǔn)技術(shù)或?qū)嵤┓椒?,遵循軟件開(kāi)發(fā)流程時(shí),我們應(yīng)確保在這個(gè)過(guò)程中減少漏洞。
跟業(yè)務(wù)場(chǎng)景相關(guān)隱患的是從技術(shù)上看是沒(méi)有問(wèn)題的、合乎邏輯的,但是從業(yè)務(wù)上來(lái)看就是有問(wèn)題的,比如過(guò)度收集用戶(hù)數(shù)據(jù)可能與業(yè)務(wù)場(chǎng)景相關(guān)。
不同業(yè)務(wù)場(chǎng)景有很多不同防護(hù)重點(diǎn)。例如,在金融行業(yè),對(duì)信用卡使用和交易安全防護(hù)的要求可能與社交媒體完全不同。在社交媒體中,用戶(hù)信息可能是防護(hù)重點(diǎn),而在金融行業(yè)中,賬戶(hù)資金安全可能更為重要。因此,在不同業(yè)務(wù)場(chǎng)景下,按照業(yè)務(wù)邏輯,實(shí)施有效的保護(hù)措施非常重要。
對(duì)企業(yè)更重要的是根據(jù)業(yè)務(wù)場(chǎng)景建立自己的模型和基線,然后判斷是否存在針對(duì)特定業(yè)務(wù)場(chǎng)景的攻擊。因此,可以分為兩部分:首先是針對(duì)傳統(tǒng)注入類(lèi)型攻擊的防護(hù),這與API開(kāi)發(fā)技術(shù)密切相關(guān)。通過(guò)開(kāi)發(fā)最佳實(shí)踐,安全產(chǎn)品和服務(wù),可以大大幫助用戶(hù)解決安全隱患。
對(duì)于基于漏洞的滲透,劉燁認(rèn)為可以通過(guò)這六步方法,幫助用戶(hù)提高API安全防護(hù)水平,減少潛在漏洞對(duì)系統(tǒng)的滲透。
首先,記錄API中的所有相關(guān)日志。例如,Akamai API Security產(chǎn)品利用大量離線分析和基于API訪問(wèn)日志的建模來(lái)建立基準(zhǔn)。
第二,是要了解所有API的端點(diǎn),這被稱(chēng)為“API發(fā)現(xiàn)”,這一點(diǎn)非常重要。許多API的問(wèn)題可能源于在開(kāi)發(fā)過(guò)程中留下的接口,這些接口可能僅供內(nèi)部調(diào)用或用于部門(mén)間協(xié)作。
第三,是進(jìn)行風(fēng)險(xiǎn)審計(jì),需要確定哪些記錄是敏感的,并建立審計(jì)方案來(lái)審查這些風(fēng)險(xiǎn)并建立基線。
第四,建立基線后進(jìn)行行為檢測(cè),當(dāng)用戶(hù)違反了應(yīng)用邏輯時(shí),應(yīng)能識(shí)別出該用戶(hù)。
第五,響應(yīng),一旦識(shí)別出問(wèn)題,需要給出防護(hù)措施的指導(dǎo),如限制或中斷用戶(hù)訪問(wèn)。
第六,事后分析,需要調(diào)整模型以應(yīng)對(duì)可能的風(fēng)險(xiǎn)和惡意攻擊,這有助于優(yōu)化整體策略。
API的安全防護(hù)已成為企業(yè)數(shù)據(jù)安全的重要關(guān)注點(diǎn),如何確保API交互過(guò)程中保護(hù)數(shù)據(jù)數(shù)據(jù)的完整性、機(jī)密性和可用性,將會(huì)是未來(lái)一段時(shí)間內(nèi)企業(yè)與專(zhuān)業(yè)安全提供商要共同面對(duì)的問(wèn)題。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )