万物互联的数字时代,API 在应用环境中变得越来越普遍,通过 API 可以快速构建产品和服务,并迅速响应客户的需求,它已成为数字化企业的必备技能。尤其在后疫情时代,远程办公、线上教学等线上应用迅速发展,作为一种能够支撑线上应用连接和数据传输重任的轻量化技术,API 已无处不在。与此同时,API 承载着企业核心业务逻辑以及敏感数据,因此成为网络犯罪分子的重点攻击目标。
API 安全事件频发
近年来,由于API的高速发展以及业务增速和安全的不对位,因此API安全问题导致的数据泄露事件频发。例如:
- 2021年4月Facebook5亿用户数据泄漏,根据暗网上公布的数据截图,涉及到用户的昵称,邮箱,电话,家庭住址的信息判断,为业务接口泄漏。
- 2021年6月,根据裁判文书网公开的判决案例显示,犯罪嫌疑人逯某通过某宝业务接口开发的爬虫软件获取了用户id,昵称,电话号码等信息11亿条。
- 2021年12月,国内某证券公司的客户信息数据,包括:用户姓名、手机号、开户时间、交易情况等敏感数据,以每日1万多条的量级在数据交易平台被售卖。经验证分析,证实为内部系统数据API管控疏忽导致。
至于为何企业会持续不断的发生类似问题?首先,企业的业务迭代速度越来越快,对线上业务的API管理难度增加;此外,对于企业的安全团队来说,线上业务的风险管理不单单是技术问题,需要业务方有足够的主动配合意愿;另外,当黑灰产已经开始以业务风险为主要攻击平面的时候,企业对业务安全的意识不够,需要时间来转换。
API 安全风险加剧
据《2021年中国互联网安全报告》数据显示,2021年针对API业务的攻击达到147.98亿次,同比增长超过200%。此外,针对API业务的攻击手段类型整体趋于多样化。
Gartner 曾预测:“到 2022 年,API 滥用将从原本频率较低的攻击类型变为导致企业 Web 应用程序数据泄露的最常见攻击媒介。”
果不其然,根据研究部门 Salt Labs 发布的《2022年第一季度 API 安全状况报告》显示,过去一年,恶意 API 流量增加了 681%,有 95% 的企业都经历了 API 安全事件,而且大多数企业并没有准备好应对这些挑战,还有 34% 的企业没有 API 安全策略。
Karma 情报平台通过捕捉到的 API 自动化攻击工具和攻击流量对近期的API安全风险态势进行了分析:
- 网络攻击持续高发,API攻击量月均超25万;
- 营销作弊仍是主要的API攻击场景,数字藏品被攻击热度依旧高涨;
- 恶意爬虫针对API进行破解和伪造,房源、招聘等信息成重点爬取对象;
- 利用API非法窃取数据,数字政务成为重点攻击目标。
API存在安全缺陷是导致API攻击的主要原因。据永安在线《API安全研究报告》显示,未授权访问、允许弱密码、错误提示不合理以及云服务配置错误是近期需要引起重视的四类API安全缺陷。
其实,API漏洞与Web漏洞大同小异,API 调用能更容易、更快速地实现自动化,这是其设计使然,可也是一把双刃剑,不但方便了开发人员,同时也方便了攻击者。
API 安全性建议
Akamai 在其发布的《互联网现状/安全性》报告中建议了几项 API 安全性的最佳做法:
1. 发现您的 API 并对它们进行逐一盘点跟踪。许多企业都遭遇过他们毫不知情的 API 所引发的事件。因此,了解 API 的位置及其用途至关重要。与此相关的还有企业使用的外部 API。这些 API 也需要得到识别和保护,或者至少被登记为潜在的风险项目并得到评估。
2. 一旦确定所有 API 的位置,您就要对它们进行测试并了解其中存在哪些漏洞。这不仅需要测试工具和扎实的开发人员培训,也需要与现有安全团队紧密合作。另外还需要针对风险承受能力进行探讨,并制定计划以尽早修复漏洞。首先确定是否存在硬编码密钥、逻辑调用,并了解 API 流量是否会受到冒充攻击的影响。还有一个好办法就是扫描存储和代码库以查找可用于破坏 API 或与其相关的任何内容的密钥。
3. 在开发和发布期间,充分利用现有的 WAF 基础架构、任何身份管理和数据保护解决方案,以及任何专门的 API 安全工具。此外,确保 API 安全性是一项长期工作,而不是开发过程中的一次性任务。新的漏洞和攻击源源不断,一次性检查只会让攻击面暴露在风险之中。
4. 在 API 策略方面,尽量避免为每种 API 使用唯一的策略,而是偏向于可以重用的一揽子策略。此外,不要将策略直接编码到需要保护的 API 中。这样做违反了职责分离机制,增加了不必要的复杂性,也额外加重了维护代码的人员的管理负担,并造成安全团队缺乏可见性。有一条有效的经验法则,就是将任何资源的默认访问级别设置为空值或拒绝。这会强制执行最小特权,并使身份验证成为一项持续要求。
5. 在某种层面上,API 开发需要各种利益相关者的参与。其中包括开发团队、网络与安全运营团队、身份相关团队(如果他们不属于运营团队)、风险管理师、安全架构师,以及法律/合规团队(以确保产品遵守所有治理和监管法律)。
如今,针对API的攻击逐渐成为恶意攻击者的首选,将有越来越多的攻击者利用API窃取敏感数据并进行业务欺诈,API作为数字时代应用服务化的关键技术支撑,为其构建健全的安全防护体系已势在必行。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/153058.html<
