2022年API成為惡意攻擊首選 企業(yè)如何保護API安全？

隨著云計算、移動互聯網、物聯網的蓬勃發(fā)展，越來越多的應用開發(fā)深度依賴于API之間的相互調用。特別是疫情常態(tài)化后，協(xié)同辦公、在線教育、直播短視頻等線上應用蓬勃發(fā)展，API在其中既能夠起到連接服務的功能，又可以用來傳輸數據，隨著API的絕對數量持續(xù)增長，通過API傳遞的數據量也飛速增長。據瑞數信息《2021 Bots自動化威脅報告》顯示，作為一種輕量化的技術，API在全球范圍內受到企業(yè)組織的高度青睞，應用接口呈現爆發(fā)式增長。相比2019年，2020年API流量同比增長2.8倍，44%的企業(yè)正在建造和維護100個或更多的API。
與此同時，API也正成為攻擊者重點光顧的目標。據Salt Security《State of API Security Report, Q3 2021》報告顯示，2021年上半年，整體API流量增長了141%，API攻擊流量則增長了348%，針對API的攻擊流量正在以普通API流量的3倍速度增長。報告還發(fā)現，安全問題在API項目關注的名單中名列前茅，很少有受訪者認為他們有信心識別和阻止API攻擊。
這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面，一旦成功攻擊API，就能獲取大量企業(yè)核心業(yè)務邏輯和敏感數據。除此之外，很多企業(yè)并不清楚自己擁有多少API，也并不能保證每個API都具有良好的訪問控制，被遺忘的影子API和僵尸API，為攻擊者提供了唾手可得的機會。相對于傳統(tǒng)Web窗體，攻擊API的成本更低、價值更高。
正因如此，2021年發(fā)生了很多重量級的API攻擊事件，引發(fā)了社會各界的廣泛關注，例如：黑客通過API漏洞入侵了7億多Linkedln用戶的數據，并在暗網上出售這些數據；黑客攻擊Parler網站的API安全漏洞，非法獲得1000萬用戶超過60TB的數據；Clubhouse因API安全漏洞泄露了130萬條用戶記錄。
可以預見，2022年針對API的攻擊將成為惡意攻擊者的首選，越來越多的黑客利用API竊取敏感數據并進行業(yè)務欺詐，為API構建安全防護體系已勢在必行。

新興網絡威脅下，傳統(tǒng)API網關局限性凸顯

一個嚴峻的事實是，API發(fā)展到現在，授權認證體系已經比較完善，但是在授權之后訪問的控制相對薄弱。管控的顆粒度因API接口業(yè)務需要而不同，在帶來訪問便利的同時，也可能被惡意利用，帶來信息泄漏和被濫用的風險。API設計之初就是為程序調用準備的，天然是工具行為，利用自動化工具通過合法授權下的API濫用,已成為API攻擊的難題。從API的提供方角度，為使用和管理的方便，過度的API開放和寬泛的API調用參數返回，既可能被惡意利用，也可能無形中造成信息泄漏和被濫用的風險。因此傳統(tǒng)API安全網關提供的身份認證、權限管控、速率限制、請求內容校驗等安全機制幾乎無用武之地。
例如，身份認證機制可能存在單因素認證、無口令強度要求、密碼明文傳輸等安全隱患，而訪問授權機制風險通常表現為用戶權限大于其實際所需權限。同時，即使建立了身份認證、訪問授權、敏感數據保護等機制，有時仍無法避免攻擊者以機器模擬正常用戶行為、運用大量代理IP進行大規(guī)模攻擊等多種方式來避免速率限制。
在如今互聯網的開放場景下，API的應用和部署面向個人、企業(yè)、組織機構等不同用戶群，是外部網絡攻擊的主要對象之一，因此更需時刻警惕外部安全威脅。針對API的常見網絡攻擊包括：重放攻擊、DDoS 攻擊、注入攻擊、會話 cookie 篡改、中間人攻擊、內容篡改、參數篡改等，這些新型的安全威脅正在變得更加復雜化、多樣化、隱蔽化、自動化。
然而，隨著API訪問環(huán)境的愈發(fā)開放、API數量的極速攀升，以及API本身的快速變化，早期的防護技術，如基于規(guī)則的傳統(tǒng)WAF防護技術、API網關的身份認證和鑒權技術，已經無法滿足現有對于API接口被濫用、越權訪問、僵尸API、信息泄漏等安全問題的防護需求，新一代基于動態(tài)技術、Bots識別、行為分析的融合防護體系逐步興起。

瑞數API安全管控平臺 助力企業(yè)打贏API保衛(wèi)戰(zhàn)

有別于很多從API安全網關角度切入的安全廠商，瑞數信息以AI人工智能為支撐的行為分析技術作為突破口，推出一種新興API融合防護方案——瑞數API安全管控平臺(API BotDefender)，集成了API資產發(fā)現、攻擊檢測、參數合規(guī)檢測、行為檢測、敏感數據識別、異常行為攔截處置等功能，覆蓋了從資產發(fā)現到攔截處置的全鏈條。
具體而言，瑞數API安全管控平臺(API BotDefender)包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，每個模塊可以獨立工作，也可以協(xié)同工作，為API接口提供完整的安全管控方案。
API資產管理
由于API數量增長太快，很多企業(yè)都不清楚自己擁有多少個API，以及API處于什么樣的狀態(tài)。如果沒有深度的API資產梳理，安全團隊根本無法了解企業(yè)API的真實資產情況，也無法預估數據暴露的風險。
因此，瑞數信息引入API資產管理，通過對訪問流量進行分析，自動發(fā)現流量中的API接口，對API接口進行自動識別、梳理和分組。同時，通過從API網關上獲取API注冊數據，與API資產進行對比，從而發(fā)現未知API接口。

API攻擊防護

通過自動化、多樣化的API網絡攻擊，黑客不僅可以達到消耗系統(tǒng)資源、中斷服務的目的，還可以通過逆向工程，掌握 API 應用、部署情況，并監(jiān)聽未加密數據傳輸，竊取企業(yè)數據。
對此，瑞數信息綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻擊。智能威脅檢測引擎能在用戶與應用程序交互的過程中收集數據，并利用統(tǒng)計模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊，并對安全攻擊進行實時防護。同時，對API請求參數進行合規(guī)管控，對不符合規(guī)范的請求參數實時管控。

敏感數據管控

如果企業(yè)未對敏感信息等數據進行脫敏處理，且未加密傳輸，一旦流量被截獲、破解，將對企業(yè)、公民個人權益造成嚴重影響。此外，未脫敏數據在傳輸至前端時，如被接收方終端緩存，也可能導致敏感數據暴露。
瑞數API安全管控平臺(API BotDefender)因此會對API傳輸中，諸如手機號、銀行卡號、身份證號等的敏感數據進行識別和過濾，并可以針對敏感數據進行脫敏或者實時攔截，規(guī)避數據安全風險。

訪問行為管控模塊

如今API攻擊多以合法身份登錄后，模擬正常操作、多源低頻請求，因此企業(yè)很難察覺訪問行為是否異常。
瑞數API安全管控平臺(API BotDefender)通過建立多維度訪問基線和API威脅建模，對API接口的訪問行為進行監(jiān)控和分析。一方面，監(jiān)控基線偏離狀況，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸；另一方面，高效識別異常訪問行為，避免惡意訪問造成的業(yè)務損失。
同時，為了防止非法API調用，瑞數API安全管控平臺(API BotDefender)通過從API網關上獲取API認證和鑒權數據，防止未授權的API調用，保障API接口只能被合法用戶訪問。
總體而言，相較于傳統(tǒng)API安全方案，瑞數API安全管控平臺(API BotDefender)著重強調API安全防護能力的提升，以行為分析為基礎實現從API接入客戶端到API服務器端的全程式API安全威脅防護，其優(yōu)勢也十分明顯：
PI全自動發(fā)現
瑞數API安全管控平臺(API BotDefender)的“Discover發(fā)現模塊”，可以快速自動地發(fā)現API，并且針對發(fā)現的API給出明確的認定;同時，顯示出清晰的API列表，對API接口的訪問情況一目了然。

構建API畫像

瑞數API安全管控平臺 (API BotDefender)，采用全程式安全威脅防護技術，從而利于精準地構建API畫像；通過API畫像，可以快速預覽各個業(yè)務的API情況，包括使用情況、異常情況、訪問來源等。

API全渠道感知
提供各種SDK，方便與各類API來源應用進行集成，可以對來源環(huán)境和用戶行為進行感知。

動態(tài)響應防護

可根據行為分析的結果或指定條件，進行動態(tài)響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。
此外，瑞數API安全管控平臺 (API BotDefender)的部署方式非常靈活，支持軟件、硬件和云的方式進行部署，可以大大降低部署、管理和維護成本。同時，占用資源少，不影響服務器的正常運行，可以實現應用無感知部署。
目前，瑞數信息憑借其突出的技術實力和防護能力，其產品在金融、政府、運營商三大行業(yè)得到了成功應用，“瑞數API安全管控解決方案”更榮獲“2021金融業(yè)新技術應用創(chuàng)新突出貢獻獎”，表明了行業(yè)客戶對瑞數技術創(chuàng)新能力和優(yōu)異應用效果的充分認可。在API安全日益重要的今天，如瑞數API BotDefender這類具備先進防護策略和創(chuàng)新技術的API安全產品，可以更好地幫助企業(yè)應對未知威脅、安全管控API，保證業(yè)務的正常高效運轉。
文字轉載自金融界