全球頂級汽車品牌全面淪陷,API應用安全再次敲響警鐘!
面向API應用的網絡攻擊已經開始對各大企業組織造成嚴重的破壞。因此,每家組織都需要提升對API應用安全的重視度。日前,網絡安全研究員Sam Curry和他領導的研究團隊,在數十家全球頂級汽車制造商生產的車輛和車聯網服務中,發現了許多API應用缺陷,利用這些缺陷,攻擊者可以進行廣泛的惡意活動,從非法竊取車主個人隱私信息,到遠程解鎖車輛、監控車輛等。
Sam Curry表示,通過深入的研究分析和實際測試,他的團隊發現API應用安全問題幾乎影響了目前所有主流的汽車品牌,包括奔馳、寶馬、勞斯萊斯、法拉利、保時捷、捷豹、路虎、本田、英菲尼迪、日產、謳歌、豐田、福特等20多個知名品牌。此外,研究團隊還發現,在Reviver、SiriusXM和Spireon等主流車聯網服務商的應用方案中,同樣存在大量嚴重的API安全缺陷。
據了解,通過利用所發現的API安全缺陷,研究人員成功進入了配置不當的SSO系統,成功訪問了奔馳、寶馬等車企的多個內部業務系統,以及其中大量的員工和客戶信息數據。例如對奔馳公司的測試中,研究人員成功訪問了多個私有GitHub實例、Mattermost上的內部聊天頻道、服務器、Jenkins和AWS實例,并連接到客戶車輛的XENTRY系統等;而在對寶馬公司的測試中,研究人員通過訪問內部經銷商網站,超權限查詢了客戶汽車的VIN,并檢索出了包含敏感車主詳細信息的銷售文檔。一旦這些安全問題被真實的攻擊者發現,后果將不堪設想。
API已成為關鍵性安全問題
其實,API應用安全問題不僅僅是在汽車制造領域存在。一項最新的研究數據表明,在過去的一年中,大約95%的受訪企業遭遇過API應用安全事件。此外,由于API安全威脅,50%以上的受訪企業不得不推遲業務應用程序的發布和更新。
為什么API安全已成為一個快速發展且急需有效解決的安全問題呢?主要原因如下:
- 不斷變化的環境:隨著組織在其信息化基礎架構中添加更多的應用程序和軟件,它們在不知不覺中集成了大量不同的API應用。所有這些API都是不同的,是由不同的開發者設計提供。因此,一般性的安全方法無法充分保護如此多樣化的API應用;
- 獨特的網絡攻擊:由于每個API都很獨特,因此它也往往會存在獨特的安全缺陷,攻擊者會發現利用這些缺陷將有利可圖。不同于傳統的跨站腳本和SQL注入攻擊,API應用缺陷更多是因為業務邏輯方面的不足導致,利用這些漏洞會影響組織數據的完整性;
- 漏洞檢測延遲:傳統的應用系統測試工具常在開發的后期階段使用。然而面對API應用時,這種延遲掃描的效果往往不是很理想。此外,在開發的最后階段使用傳統的安全工具可能會生成更多的誤報。
API安全防護的挑戰
API的安全挑戰正在不斷出現,但是企業在大量應用安全防護工具應對API安全威脅時卻表現得差強人意,原因是什么呢?
API不同于Web應用程序
對于API安全防護而言,大多數目前的應用程序安全工具無效的主要原因是IT團隊采用安全方法太傳統。企業先要意識到雖然API是Web應用程序基礎設施的一部分,但它不僅僅是Web應用程序。兩者不一樣,它們有不同的安全漏洞,因此需要專門的保護策略。
比如說,失效的對象級授權(BOLA)是較為普遍的API安全問題之一。當API將處理對象標識符的端點暴露在已驗證但未授權的用戶面前時,就存在這個問題。由于大量復雜的微服務參與其中,BOLA問題是傳統Web應用程序安全工具無法充分解決的。但是事實上,很多企業繼續通過DAST工具來處理這類安全問題。由此帶來的虛假安全感,正是API安全問題不斷嚴重的原因之一。
應用程序安全不是為了保護API
大多數應用程序安全工具不能有效保護API應用的主要原因在于其固有的技術局限性。
比如說,靜態應用程序安全測試(SAST)不適用于API,是因為SAST主要依靠源代碼檢查和數據流建模來確定漏洞是如何發生的。由于使用復雜的第三方框架和庫,SAST掃描器無法將相同的方法運用于API。因此,在API上運行SAST工具時,將會生成太多的漏報,從而使實際的安全漏洞無法被有效檢測出來。
API安全測試延遲
使用應用程序安全工具來檢查應用程序的安全性常出現在軟件開發生命周期(SDLC)的后期,因為這些工具需要切實可行的應用程序來執行測試。然而,這種方法不應該運用于API安全。由于基于微服務為中心的架構,開發人員需要在開發過程中測試各個API的漏洞。這種快速掃描讓組織可以將安全得多的API部署到基礎設施中,盡量降低未來的風險。
API安全方案的改進
隨著信息技術的快速發展,API安全防護也在持續演進過程中,多向量、自動化工具、武器化人工智能類的攻擊將成為API攻擊的主流,相應的,安全防護措施也需加強系統化、自動化、深度學習、智能化能力,向以體系對抗體系,以智能防護智能的方向演進。
傳統的應用程序安全工具不會毫無用處,企業仍然需要部署Web應用防火墻(WAF)、SAST和DAST等工具。但是為了實現更好的API防護效果,企業組織應該提前規劃,積極采用更先進的方法,結合人工智能、機器學習和行為分析等現代技術來檢測API應用中的缺陷。企業也可以考慮采用托管式的API保護服務,在此模式下,安全人員將不依賴過去的內容輸入驗證,即可快速檢測新的安全漏洞,并API應用的特點提供針對性的保護。
此外,開發人員必須通過安全“左移”方法,確保其API在開發的早期階段,可以通過有效的方法檢測漏洞和修復漏洞。這有助于保證API實際應用后的可靠性和安全性。
