[調研]API攻擊隨應用面擴大而激增
隨著敏捷開發的普及,Web應用程序編程接口采用率同步大幅增加,依靠軟件的公司暴露出了更大范圍的攻擊面,惡意黑客可利用的點更多了。
最近發布的兩份報告表明,總體而言,過去一年中API使用量飆升,每家公司在用API數量約為1.56萬個,且API流量翻了兩番,達到平均每年8.2億次API調用請求。而應用開發人員關注哪里,攻擊者也跟著集火哪里:API安全公司Salt Security在3月份發布的《API 安全狀況》報告顯示,惡意API流量一年來激增近七倍。
Salt Security首席產品官Elad Koren表示,一方面,開發趨勢變更,另一方面,第三方軟件組件暴露出的API利用漏洞不斷增加,因而攻擊者會繼續瞄準方便利用的接口。
他說道:“攻擊肯定會增加,因為攻擊面顯然是在擴大的。但情況不僅僅如此。還有Spring4Shell和Log4j這樣的漏洞,所有這些新發現的漏洞都是該新攻擊面的一部分,而惡意黑客不會放過利用這些脆弱的暴露面。”
這種種趨勢都是應用安全面臨的全新挑戰。開發團隊一貫快速推進,通常不會全面記錄為連接云端或網絡上不同應用組件而創建的諸多API。佛瑞斯特研究所首席分析師Sandy Carielli認為,這就造成各家公司不清楚自身API庫存情況,也不知道這些應用程序接口是否安全。
API調用量與惡意API調用量增長對比
于是,API安全問題排名業務分析公司簡報主題前五就毫不令人意外了。
Carielli表示:“惡意流量的持續增加肯定不會讓我感到驚訝。隨著越來越多的企業轉向使用API,經由API的應用流量占比肯定會升高,你自然會看到流經這一渠道的惡意流量變多。”
駕馭API攻擊面
企業紛紛轉向云原生和敏捷開發方法的趨勢推動了API保有量及流量的不斷增長。API安全公司Noname Security聯合創始人兼首席執行官Oz Golan表示,應用程序開發典型沖刺時間為兩到三周,因此開發團隊有大把機會向服務和應用程序中引入API錯誤配置和漏洞。
Golan說道:“隨著企業努力加快推進自身數字化轉型過程,更多的API漏洞會不斷浮現出來被惡意黑客利用。除非企業放慢業務運營并開展全面測試,否則其運營就會暴露于風險之中。”
在Noname Security贊助下,標普全球市場財智(S&P Global Market Intelligence)發布《2022年API安全趨勢報告》。報告揭示,每家公司平均擁有近1.56萬個API,去年API安全事件發生率為41%。然而,API安全供應商收集數據(包括向來解讀各異的調查結果)時使用不同的標準,造成研究結論也是紛繁復雜。比如,Salt Security在3月份發布的《API安全狀況》報告中就指出,客戶公司平均擁有135個API,API安全事件發生率高達95%。
盡管數字不一致(有時甚至差異巨大),但這兩家調研機構都報告稱其客戶的相對API使用量出現顯著增長,惡意API流量亦相對增加。
應對API安全挑戰
基于此,各家公司需全面考量自身API及其員工的API使用情況,包括API的源地址、目的地址、類型、數據敏感度、所有者和API訪問是否需要權限等。佛瑞斯特研究所首席分析師Carielli表示,截至目前,公司在跟蹤API庫存方面做得并不好。
她說道:“理想情況下,你會讓開發團隊為每個API創建并更新規范文件。然而,理想很豐滿,現實很骨感。很多發現工具都不得不分析流量并對API進行預發布測試,從而確保設置了恰當的控制措施且管理良好。”
API保護措施與應用程序的整體安全密切相關。關注安全設計和威脅建模意味著要阻止小缺陷變成修復代價高昂的大漏洞。Salt Security的Koren表示,在部署后測試和監控API使用情況,與收集攻擊者數據和防止開發過程中未發現的問題造成損害同等重要。
Koren指出,在設計階段就考慮API安全可以盡可能多地修復安全漏洞,但運行時安全同樣必不可少,因為運行時安全能夠讓應用程序所有者安心,且可了解攻擊者所用的戰術。
“時至今日,左側(開發側)流程安全非常重要,但不能與運行時安全互換。無論你有多好的工具,都不可能在開發階段就捕獲所有的漏洞。你必須擁有運行時安全,因為這二者是不可互換的。”
標普全球市場財智《2022年API安全趨勢報告》:
https://nonamesecurity.com/api-security-trends-report
Salt Security《API安全狀況》報告:
https://salt.security/press-releases/salt-security-state-of-api-security-report-reveals-api-attacks-increased-681-in-the-last-12-months
