Gartner技術成熟度曲線:API安全技術解讀
“ 為支持數字化轉型過程中的信息流通以及各種程序、應用和系統之間的連接,API 在應用架構中變得更加普遍。然而,這種增長引起了攻擊者的更多關注,API 已成為許多系統的主要攻擊面。”
在近日發布的《Hype Cycle for Application Security, 2022》(2022年應用安全技術成熟度曲線)報告中,Gartner再次闡明API作為企業數字化轉型的重要基礎設施已逐漸成為攻擊者的主要攻擊目標。
作為全球知名IT咨詢和調研機構,Gartner很早就關注API安全問題,其曾在《如何建立有效的API安全策略》報告中預測,“到2022年,API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。”而后又更新了這一預測,稱“到2024年,API濫用和相關數據泄露將幾乎翻倍。”
此次最新發布的Hype Cycle報告中,Gartner針對當下較熱門的API安全技術進行了重點調研和分析。
從報告信息來看,國內外已有不少企業已啟動API安全保護計劃。這是好事,意味著一些企業已逐漸意識到API安全的重要性并開始進行針對性防護。
下文將圍繞Gartner報告分析內容展開分享這兩項熱門API安全技術的關鍵點并提出觀點,方便企業用戶更了解API安全風險以及如何進行API保護。
API資產可見性是API安全測試的基礎
API安全測試(API Security Testing)是一種特殊類型的應用程序安全測試 (AST),旨在識別 API 中的漏洞。
Gartner表示,API 是許多企業組織數字化轉型工作的基礎要素,攻擊者對應用程序的攻擊正在轉向API,且攻擊速度正在加快,因此,保護 API 免受攻擊和濫用是許多安全和風險管理 (SRM) 專業人員日益關注的問題。
然而,現階段很多API的創建、開發和部署過程可能管理松散,存在正常流程和控制之外未被記錄的影子API,此類API可能缺乏安全設計和測試,容易遭受攻擊,從而給企業帶來更大的安全風險。
此外,傳統的AST工具,如SAST、DAST和交互AST(IAST),最初不是為了測試API典型攻擊(如數據泄露漏洞)或更新類型的API(如 GraphQL)相關漏洞而設計的,無法全面識別API漏洞和攻擊。這就給專注API安全測試、能夠發現影子API并保護API免受威脅的專業API安全供應商創造機會。
企業通過對API在發布前和發布后進行安全測試,能夠提前識別API存在的安全缺陷,避免有安全缺陷的API暴露在互聯網而被惡意攻擊或利用,為企業整體API安全策略奠定基礎。
那么,對企業而言,應如何選擇合適的API安全測試產品呢?Gartner報告給出了建議:
1)不要投資沒有可靠API清單的產品工具,除非該產品能專門用于解決該領域的缺陷。
這一項是要求產品具備自動化發現和管理API的能力,要能夠定位到API并幫助企業維護好API清單,確保所有的API都能得到測試和管理。
2)API安全工具應該滿足多種需求的能力,包括API發現、測試和威脅防護。
API資產的可見性是安全測試的基礎,看不到API就沒有機會進行安全測試,也就給攻擊者攻擊的機會。
基于情報檢測針對API的業務邏輯攻擊是API威脅保護的關鍵
API 威脅保護(API Threat Protection)是為了保護企業內部和外部的API免受漏洞利用、濫用、訪問違規和拒絕服務 (DoS) 攻擊的一種安全策略。API網關、WAAP以及專業的API安全產品通過對API參數和有效負載的內容檢查、流量管理以及異常流量檢測、分析相結合來提供 API威脅保護能力。
根據Gartner最新報告,現階段API威脅保護技術的應用仍存在一些挑戰:
1)許多企業組織的API缺乏可見性。
如前文提到的很多API的創建、開發和部署過程管理松散,導致很多API存在于正常流程和控制之外,這些API沒有經過WAF或API網關;又或API分散在多個平臺(包括云服務平臺)難以被統一管理。API都不知道在哪,談何保護?
2)許多API安全問題都與業務邏輯相關。
這是API安全問題與其它安全問題最大的不同點。API安全產品需要了解業務邏輯并識別異常流量,否則針對業務邏輯威脅的保護很難做到完全自動化。類似WAF、以及一些基于規則而非業務風險特征的安全產品,就無法解決API邏輯攻擊問題和未知威脅。
3)API威脅保護不歸屬于安全團隊而容易被忽視。
很多企業組織是將API網關交給API平臺團隊管理,由于缺乏專業的安全知識和專注于交付而非安全性,導致API威脅保護被忽視。
為此,針對企業如何選擇合適的API威脅保護產品,Gartner報告給出了建議:
1)API威脅保護工具在實施威脅防御之前能夠發現并分類企業的API資產。
這一項同上文提到的“API資產可見性”一樣,并要求工具要能夠根據API的業務場景、出站數據的敏感度、風險等級等信息對API進行分級分類,完善企業“API清單”。只有看得到API,并對API有全盤的了解,才能保護API。
2)API 保護規則應根據API業務邏輯進行調整。
靜態速率限制或 IP黑白名單的策略在生產環境或大規模應用中價值不大,難以解決海量小號、秒撥代理IP低頻攻擊等問題。黑產或黑客針對API發起數據爬取和業務邏輯攻擊,其攻擊流量同正常用戶的流量是一樣的,很難依靠傳統基于規則的特征來進行檢測。
綜上,可以看到不管是API安全測試技術還是API威脅保護技術,均要求API安全產品要滿足多種需求的能力,包括API發現(梳理API資產)、API漏洞檢測(發現API漏洞)和API攻擊檢測,這也是此前Gartner建議企業建立API安全策略的三個步驟:
永安在線基于業務情報的API安全管控方案正是以這樣的思路來設計的。
基于業務情報構建API行為基線
的API安全管控方案
1. 旁路流量接入,動態梳理API資產
通過旁路流量分析,能夠以持續、動態的方式梳理API資產,包括API開放的數量、API的活躍狀況、僵尸API、影子API等安全風險信息。
基于API的業務場景、出站數據的敏感度、API風險等級對API進行分級分類:
此外,通過流量梳理API資產的同時,會對流量中流動的敏感數據資產進行識別和提取,對敏感數據類型進行分級分類,確保數據資產持續更新和可見。
2. 根據真實攻擊特征,持續檢測API漏洞
在API資產和數據資產可見的基礎之上,永安在線API安全管控該平臺基于代理蜜罐情報持續跟蹤攻擊者如何利用新型API漏洞來進行攻擊,通過對新型攻擊面和攻擊特征的分析,持續迭代優化API漏洞檢測引擎,覆蓋業務API的邏輯漏洞以及開源系統API的未授權漏洞。
相比IAST工具,永安在線API安全管控平臺增加了API在認證、授權、數據暴露等脆弱性的檢測,如未授權漏洞、越權漏洞、短信驗證碼泄露、關鍵數據未脫敏、數據偽脫敏、脫敏不規范等。
3. 基于業務風險情報,精準感知API攻擊
永安在線基于攻擊者使用的攻擊資源如攻擊IP、工具、賬號、行為等風險情報,構建API訪問的行為基線,利用機器學習檢測API訪問序列中的異常行為,及時告警撞庫、掃號、數據爬取、賬號爆破、漏洞掃描等攻擊風險。
這一能力正好滿足了當下一些基于規則特征的產品無法解決海量小號、秒撥代理IP低頻攻擊等API邏輯攻擊問題。
永安在線基于風險情報實現API資產梳理、API漏洞檢測和API攻擊感知這三大能力,能夠讓企業自動化盤點API和流動數據資產安全情況,及時感知針對業務及敏感數據的攻擊風險,先于攻擊者發現攻擊面,為企業的業務和數據安全保駕護航。
