阻止API變得安全的七個誤區

隨著企業數字化轉型深入，越來越多的業務從線下搬到線上，通過API進行數據交換和實現業務邏輯是企業快速創新和發展的重要方式，企業APP、Web和應用程序核心功能、云體系與微服務架構等均離不開API，API的數量和流量均與日俱增。

而現階段很多企業在API安全建設方面相對薄弱，這就給了黑產可乘之機。相關市場研究報告數據說明，與整體 API 流量相比，API 攻擊流量增長了三倍。通過利用API的安全漏洞，攻擊者可以輕松獲取企業Web應用系統及服務器設備的控制權限，從而進行掃號撞庫、數據竊取、營銷作弊等破壞活動，嚴重損害企業的業務發展。

API安全建設刻不容緩。通過對一些企業關于API保護策略的調研發現，不少企業在API安全建設上存在一些錯誤的假設，這些誤區會讓企業的API容易受到攻擊和威脅，隨時可能引發嚴重的安全問題和事故。

第一類誤區是認為WAF、API網關、滲透測試等策略能完全保護API

誤區1：WAF會保護API

WAF在一定程度上可以防御諸如注入、跨站點腳本、CSRF、會話劫持和 Cookie 中毒等API攻擊，但 API會暴露大多數WAF無法保護的許多威脅向量。有如下三個方面：

1）針對API上流動的數據安全問題，需要對API返回的內容進行分析，標準 WAF 通常不包括這些類型的功能。

2）大多數 WAF只部署了已知漏洞攻擊的安全模型，缺乏針對0day攻擊以及OWASP API Top10中許多業務邏輯方面的漏洞攻擊（如越權攻擊、未授權攻擊等）的保護。

3）攻擊者大多會利用大量的動態代理IP來進行低頻慢速的攻擊，來完成撞庫、惡意注冊、營銷作弊、數據爬取，甚至利用API來完成短信轟炸、惡意網址跳轉。目前，大多數WAF不具備這方面的檢測功能。

誤區2：API網關會保護API 

API網關旨在管理API的生命周期、轉換協議、將API調用路由到正確的目的地以及管理配額，以確保處理API調用的服務器資源不會耗盡或濫用。另外，API網關可對API調用的實體進行身份驗證，以確保該實體有權執行每個特定調用。一些API網關還具有集成的基于簽名的引擎，可為它們處理的API調用提供額外的保護。雖然這些都是重要的功能，但它們不足以提供有效的API保護。

迄今為止，大多數API網關不具備Bot檢測、低頻慢速的攻擊行為分析。面對API安全，API網關還存在三個方面的不足：

1）一旦攻擊者獲取 API 的認證憑證，API 網關就無法阻止使用該憑證的攻擊，因為這些攻擊與正常請求無法區分。

2）并非所有的 API 調用都集中通過 API 網關，譬如老舊系統常常沒有經過API網關。因此，在許多組織中，有許多未記錄和未托管的 API 沒有得到解決，企業沒辦法保護看不到的影子API。

3）許多 API 攻擊非常復雜，依賴于 API 后端中的編碼或邏輯錯誤，網關根本無法抵御這些復雜的攻擊。

誤區3：定期的滲透測試和測試環境部署IAST工具會確保API安全

一些企業認為定期的滲透測試，甚至在測試環境已經部署了IAST類的系統就能保障API的安全，結合了IAST的自動化測試以及人工的深度滲透測試，就可以保障上線后的API沒什么安全問題了。定期的滲透測試和IAST工具的自動化測試的確可以減少API設計開發方面的漏洞，但同時存在三個方面的不足：

1）業務數字化，企業的API數量很龐大，人工的滲透測試往往只能覆蓋部分的API。

2）敏捷研發的時代，API的研發迭代很快，自動化IAST測試不能確保每一個API都有被測試到。

3）譬如營銷作弊類場景，攻擊者完成一次攻擊往往需要利用多個API的邏輯組合來實現，這也是自動化IAST測試很難覆蓋到的。

誤區4：HTTPS加密會保護API

HTTPS會對傳輸的流量進行加密，采用了前向加密算法的流量甚至可以避免旁路解密流量，可以防止中間人進行攻擊，能保護用戶數據免受竊取和篡改，但卻無法防范攻擊者已經建立有效連接下的API攻擊。比如說，如果攻擊者可以在易受攻擊的HTTPS應用中訪問或創建有效的用戶賬戶，攻擊者就可以隨意嘗試SQL注入、權限提升及其他攻擊，而這一切都是在安全加密的連接中進行，流量加密傳輸不能解決攻擊者進行的業務邏輯的攻擊。

第二類誤區是認為不連接互聯網環境下的API是足夠安全的

誤區5：部署在企業內部的API是安全的

很多安全人員會認為沒有連接互聯網的內網應用就是安全的，不會受到基于外部的網絡攻擊。攻擊者可以利用服務器端請求偽造（SSRF）之類的API漏洞，以某一臺被攻陷的服務器為跳板，攻擊企業內網上的應用。特別是在云優先環境下，許多組織不再擁有完全物理隔離的內部網絡，攻擊者可以通過受攻擊的應用間接攻擊內網上的應用。

誤區6：只允許通過VPN訪問的API是安全的

新冠疫情之后，遠程工作模式流行起來，虛擬專用網（VPN）已變成企業普遍使用的遠程訪問工具。一些安全人員認為，只允許通過VPN訪問的應用系統就是安全的。盡管VPN確實提供了額外的隔離和訪問控制，使得應用系統就像部署在內部網絡一樣，但不應該將VPN視為應用系統的安全保障。如果攻擊者設法通過使用被盜的憑據、泄露的員工賬戶或某種社會工程的方法訪問了 VPN，失去VPN的憑證后，應用系統的API很容易受到攻擊。

第三類誤區是存在僥幸心理，認為自己的API不會被攻擊，這也是最危險的

誤區7：我們只是普通的企業，我們的API不會被攻擊

很多企業存在僥幸心理，不管是大型企業，還是中小企業用戶，普遍認為API攻擊只會發生在其他企業，自己不會受到攻擊。事實上，現在的網絡攻擊大都是由有組織的惡意團伙發起，他們每天在網絡上進行自動攻擊嗅探，一旦自動化程序發現了可被利用的安全漏洞，就會發起攻擊。正是因為大多數網絡攻擊是自動化的、沒有特定目標的，因此每個企業都可能成為攻擊者的目標。

譬如攻擊者從fofa上搜索哪些企業使用了spring boot acuator組件且是沒有開啟鑒權的，就利用env接口未鑒權漏洞來爬取敏感數據。所以，企業不應該存在僥幸心理，應該為防御API的惡意攻擊做好充分的準備。

企業應如何做好API安全建設呢？ 

隨著企業逐步數字化和在線化，API呈現爆發式增長，企業的敏感數據和業務邏輯都依靠API來進行交互，保護API的安全對于確保企業的流動數據安全和業務安全就至關重要。數世咨詢最新發布的API安全研究報告顯示:

“在現階段，我國企業大部分都依靠分析日志文件來識別API攻擊者和事件，超過三分之二的調研用戶正在使用WAF或API網關進行防護，但每個調研用戶依舊都遭遇到許多API攻擊。WAF和API網關缺乏建立流量或邏輯關聯活動的能力，導致經歷過API攻擊的企業依然在承受損失，這種安全防護方法被證明是不夠有效的，是不能很好滿足企業安全需求的。”

永安在線基于風險情報的API安全管控平臺，以API資產為中心，通過API資產和敏感數據梳理、API安全缺陷檢測和API攻擊風險感知等能力，讓企業實現自動化盤點API和流動數據資產安全情況，及時感知針對業務及敏感數據的攻擊風險，先于攻擊者發現攻擊面，為企業的業務和數據安全保駕護航。

1. 旁路流量接入，動態梳理API資產和敏感數據

通過旁路流量分析，能夠以持續、動態的方式梳理API資產，包括API開放的數量、API的活躍狀況、僵尸API、影子API等安全風險信息。

此外，通過流量梳理API資產的同時，會對流量中流動的敏感數據資產進行識別和提取，對敏感數據類型進行分級分類，確保企業流動數據清晰可見。

2. 根據真實攻擊特征，持續檢測API漏洞

在API資產和數據資產可見的基礎之上，永安在線API安全管控該平臺基于代理蜜罐情報持續跟蹤攻擊者如何利用新型API漏洞來進行攻擊，通過對新型攻擊面和攻擊特征的分析，持續迭代優化API漏洞檢測引擎，覆蓋業務API的邏輯漏洞以及開源系統API的未授權漏洞。

相比IAST工具，永安在線API安全管控平臺增加了API在認證、授權、數據暴露等脆弱性的檢測，如未授權漏洞、越權漏洞、短信驗證碼泄露、關鍵數據未脫敏、數據偽脫敏、脫敏不規范等。

3. 基于業務風險情報，精準感知API攻擊

永安在線基于攻擊者使用的攻擊資源如攻擊IP、工具、賬號、行為等風險情報，構建API訪問的行為基線，利用機器學習檢測API訪問序列中的異常行為，及時告警撞庫、掃號、數據爬取、賬號爆破、漏洞掃描等攻擊風險。

這一能力正好滿足了當下一些基于規則特征的產品無法解決海量小號、秒撥代理IP低頻攻擊等API邏輯攻擊問題。