在 今年的RSA 會議上,Akamai 高級副總裁 Rupesh Chokshi 分享了題為Spotlight on latest web application and api attack data的議題,重點介紹了最新的網絡應用程序漏洞和 API 攻擊趨勢。本文將解讀該議題,首先從近年來應用漏洞和API攻擊數據趨勢出發,描述導致數據泄露的主要原因,緊接著將介紹各行業受到攻擊的數據統計。最后,從 OWASP API Security Top 10 RC 版本中描述了一些現有風險的更新以及新增的API安全風險

應用漏洞發展趨勢分析

Rupesh Chokshi首先通過數據統計介紹了近年來每年受到的攻擊次數。相關數據顯示,自 2022年10月至今,來自應用程序漏洞和API漏洞的攻擊次數高達1.61億次。企業平均使用1061個應用,從而可以看出攻擊面在持續增長。從2021年至2022年,攻擊量增速2.5 倍,而主要原因是由于企業更快的應用開發效率以及更高數量的漏洞被頻頻爆出。這些漏洞最終會導致大量的數據泄露。Rupesh Chokshi從四個方面闡述了導致數據泄露的主要原因。

服務端請求偽造(SSRF)

SSRF(Server-Side Request Forgery) 是一種惡意攻擊技術,主要利用客戶端 (通常是 Web 應用程序的用戶) 和服務器之間的通信漏洞,在服務器上執行未經授權的操作。攻擊原理方面,攻擊者常通過構造惡意的客戶端請求,將合法的請求發送到服務器,從而使服務器執行攻擊者想要的操作。這些操作可以是打開惡意網站、下載惡意軟件、竊取機密信息等。

2021年3月,微軟公布了多個Microsoft Exchange的高危漏洞(CVE-2021-26855和CVE-2021-27065),攻擊者通過組合利用這些漏洞可以在未經身份驗證的情況下遠程獲取服務器權限。安全研究員Orange Tsai于2020年底發現該系列漏洞并將其命名為 “ProxyLogon”。ProxyLogon是Exchange歷史上最具影響力的漏洞之一,有上千臺Exchange服務器被植入了Webshell后門。

Akamai統計表明,使用其AAP(App & API Protector)產品的客戶平均每日受到1400萬次SSRF攻擊。

供應鏈安全

近年來,供應鏈攻擊層出不窮,鑒于供應鏈自身的特性,惡意軟件可以安裝在供應鏈的任何階段,且供應鏈攻擊允許指定目標,若被攻擊的供應商有很多客戶,則受影響的數量會迅速增加。此外,由于供應鏈依賴于已被信任并且可以廣泛分發的軟件,因而供應鏈攻擊很難被檢測。

2020年12月,美國安全公司FireEye爆出有攻擊者通過在SolarWinds軟件中植入木馬程序入侵了公司網絡。該木馬程序具有合法的數字簽名并且伴隨著軟件的更新下發,借助軟件供應鏈的特性,APT攻擊者組織可對目標機構發起未授權訪問,達到長期對目標機構的控制,并不斷竊取核心數據。事件經歷短短一周內就有超過200家重要機構受到影響,其中不乏一些全球科技發達地區的敏感機構,其中美國占比超過60%,包括美國國務院、國土安全部、國防部、財政部在內的多家政府機構均受到此事件的影響,事件影響力可謂巨大。

2021年11月Log4j2訪問遠程對象功能被發現存在遠程命令執行漏洞,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。該漏洞被命名為Log4Shell。2021年12月9日Log4Shell漏洞的驗證方法被正式公布,針對此漏洞的網絡攻擊迅速在全球蔓延,進而引發了網絡安全界的“核爆”。漏洞觸發條件極其簡單,且無需特殊配置,風險極大。多家大廠無一幸免,更可怕的是,該漏洞的影響范圍超出了地球,因為美國國家航空航天局用來探索火星的“機智”號無人直升機也使用了含有此漏洞的軟件。由此,Log4Shell可以當之無愧地被稱為“宇宙級”漏洞。

Akamai的相關統計表明,三分之二受到影響的Java服務器由Log4j漏洞引起,并預測供應鏈攻擊在未來幾年將持續增長,建議企業做好防范準備。

制造行業的攻擊

Akamai的相關統計表明,針對制造行業的攻擊近些年非常普遍,攻擊者試圖部署惡意軟件,通過供應鏈攻擊破壞整個制造業,隨著物聯網的發展以及大規模數據收集,針對制造行業的攻擊增長率高達76%。

物聯網醫療的攻擊

Rupesh Chokshi提到針對物聯網醫療的攻擊將成為新的攻擊面,據Akamai的相關統計表明,美國醫療系統中平均每個病房就有15-20臺連接設備,采用物聯網技術便捷在于降低成本、統一管理,提高效率和可靠性,但同時也會因為設備中存在第三方漏洞被黑客利用從而導致一定風險,美國目前有許多醫療保健法規,包括2022擬定的醫療保健安全法案,這些法規提供了指導方針和策略,可以供企業參考。

各行業攻擊統計分析

從應用安全漏洞的發展趨勢來看,各行業都受到了不同程度的影響,本次議題中,Rupesh Chokshi也提出了主要受影響的行業,如下圖所示:

圖1 各行業受到的攻擊統計

從2021年至2022年,受到Web攻擊影響的行業包括商業、高科技、金融、制造業、醫療、游戲、媒體等。其中影響面較大主要為商業、高科技、金融以及制造業,且相比前一年有5%的提升。

針對商業行業的攻擊,攻擊者習慣縮短攻擊路徑,以便遇到阻力及時更改策略,Aakamai相關數據表明,從2021年第三季度至2022年第三季度,local file inclusion(LFI)攻擊增加了300%。

針對金融行業的攻擊, Rupesh Chokshi提到過去一年應用程序和API的攻擊增長3.5倍,預測到2027年,金融行業將會達到1820億美金的規模,屆時將會面臨更大規模的網絡攻擊。

從OWASP看API新風險

最后Rupesh Chokshi提到了OWASP在2023年新發布的OWASP API Security Top 10風險,并與2019年發布的版本進行了比對,可以看出一些具有API特性的新風險被提出,并且在原有的幾類風險基礎上做了更新,如下圖所示:

圖2 OWASP API Security Top 10新舊版對比

筆者結合 Rupesh Chokshi 提出的新舊版本變化進行了總結,整體可以分為三個方面。首先,新增了一些風險,包括新增的漏洞類型、新的攻擊方式以及 API 的新功能。其次,更新了原有的風險,對這些風險進行了加強或者新增了對這些風險的檢測方法。最后,刪除了一些風險,這些風險已經不再重要或者已經被大規模修復。

新增風險

  • 1)Top6: 服務端請求偽造風險,從前文提到的CVE-2021-26855漏洞影響面可以看出,SSRF攻擊目前已經躍升為Top10中的一大風險;
  • 2)Top8: 缺少自動化威脅防護,我們了解到近些年業務風控、爬蟲、Bot防護越來越普遍,看來自動化威脅防護的需求也迫在眉睫;
  • 3)Top10:不安全的第三方API, 應用開發過程中,開發人員常使用第三方API,因未做校驗而導致供應鏈風險;

更新風險

  • 1)Top 2: 從“用戶身份認證失效”更改為“身份認證失效”,可以看出新版去掉了用戶的概念,風險范圍擴展到了人與機器多個層面的身份認證;
  • 2)Top 3: 對象屬性識別授權失效,合并了原有Top3 過度數據暴露和 Top6 批量分配;
  • 3)Top4: 從“資源訪問無限制”更改為“資源消耗無限制”,更強調應用層的拒絕服務攻擊;
  • 4)Top9: 從“資產管理不當”更改為“存量資產管理不當”,強調存量資產,即僵尸API等。

刪除風險

  • 1) Top8: 刪除注入風險
  • 2)Top10: 刪除日志與監控不足

總結

本文從應用漏洞發展趨勢、各行業攻擊數據統計以及OWASP API安全十大風險三個層面分析了Web應用程序和API攻擊的整體趨勢,可以看出攻擊的趨勢正在不斷變化,因此企業必須時刻保持警惕,并采取有效的安全措施來保護他們的應用程序和 API。

web技術 信息安全 網絡安全 供應鏈 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接