應用程序接口 (API) 防護技術發展研究及對策建議
摘自:《網絡安全技術和產業動態》2022年第6期,總第24期。
應用程序接口(Application Programming Interface,API)是一些預先被定義的接口或協議,用來實現和其他軟件組件的交互。API在應用架構上實現了軟件的模塊化,具備可重用、可擴展能力,已經成為應用系統中廣泛使用的核心支撐技術之一。APP、小程序、智能家電、政務平臺、數據交換等都在大量使用API相關技術。
近年來,基于動態防護、惡意Bots識別、行為分析、機器學習等融合性的API防護技術體系逐步興起。API可公開獲取、標準化、高效且易于使用的特性,為開發者帶來諸多好處的同時,極大地增加了應用系統新的風險,相應防護能力要求也在提升。
01 技術發展情況
在數字時代下,無論是互聯網商業創新還是傳統企業數字化轉型,都推動了API技術的發展,API從只用于企業內部服務調用,到面向外部服務調用,再到如今的對外公開調用,API已經逐步從限制性的局部接口,轉向更大和更廣的領域。其連接的已不僅僅是系統和數據,還有企業內部職能部門、客戶和合作伙伴,甚至整個商業生態。
隨著API形態的發展,其面臨的威脅發生了轉變,相應的防護技術也在發展。
早期API防護以API網關為主,該技術主要是通過身份驗證、訪問控制、速率限制等手段提供防護能力。此類技術非常成熟,無論是開源系統還是商用系統都已廣泛使用。但API網關是以鑒權為核心,缺少攻擊檢測和防護能力,對API的安全威脅防護遠遠不夠。
之后出現了基于WAF的解決方案,以解決API在面臨新型專屬攻擊的同時所面臨的傳統Web攻擊。該方案主要是通過特征匹配、策略規則等方式,對API請求中的SQL注入、命令注入、CC等攻擊進行檢測,同時增加了API調用參數檢查、合規檢查等安全功能。
但隨著針對API特性的攻擊越來越多,單純依靠API網關和WAF技術并不能全面有效的識別API安全風險,新興的API融合防護技術開始發展。依托機器學習、行為分析、特征識別等技術,實現API接口的自動發現、風險識別、傳統攻擊檢測、敏感數據管控等功能,提供覆蓋API全維度的安全防護。
02 發展難點分析
API自身特點決定了它面臨著許多特別的安全威脅,除了傳統的Web攻擊外,還面臨著憑證失陷、越權訪問、過度數據暴露等威脅。同時,針對這些威脅檢測要涉及到API接口發現、參數檢測、行為識別、訪問控制等多個環節,任何環節的缺失或不足都會影響到整體防護效果,其發展難點表現在:
1.多渠道多邊界難以全面防護
訪問入口的多樣化,帶來了服務部署邊界的多樣化,如:Web、APP、小程序、第三方平臺等業務接入渠道。多樣化接入導致了脆弱點的暴露面擴大,增加了風險管控復雜性。在同一防護體系內融合多業務接入渠道的防護是API防護的難點之一。
2.接口分散和數據多樣性導致接口難以發現
全面準確的API接口發現是API防護工作的基礎,對API接口進行自動識別、分類尤為重要。與傳統Web應用可以依賴自身結構上的統一入口不同,API自身多以獨立個體的方式存在,采用點對點的訪問模式,難以通過接口之間的聯系進行API發現。同時,傳輸數據格式的多樣性(JSON、XML、GraphQL等)也增加了API的識別難度。
3.業務緊耦合防護策略難以通用
API和業務系統是緊耦合的,針對API的防護策略往往也和業務相關,這就造成API防護策略在跨業務的情況下難以通用,而微服務架構和DevOps模式下應用快速迭代變化的特性也放大了這一難點,解決這一問題是API防護產品快速部署推廣的一個難點。
4.合法授權下的濫用風險難以識別
目前API在授權之后的訪問控制相對薄弱,海外安全機構Salt Security發布《State of API Security》中顯示,95%的API攻擊發生在身份驗證之后。API防護需要重點關注這些合法授權下的攻擊、濫用及數據過度暴露等風險,如何在已經取得合法授權的請求中識別出異常訪問,是API防護需要解決的一個難題。
03 產業落地情況
目前針對API防護技術主要分成了三個方向:API網關、WAF和API融合防護,國內外的安全廠商在這些方向上都有所涉及,相關產業落地情況如下:
1.API網關
經過多年的發展,API網關技術已經非常成熟,參與其中的廠商或組織也很多,例如開源類的API網關包括:Kong、APISIX、Tyk、Zuul等。商業級的API網關形態更為豐富,包括本地部署、云端部署、SaaS模式等。參與廠商包括阿里、華為、騰訊、青云、派拉軟件等。
2.WAF
基于WAF的API防護技術,主要是一些傳統的安全廠商在研發,利用已經具備了多年的WAF產品研發經驗,可快速擴展部分API防護的能力,例如敏感數據識別、參數合規檢測等。國外以Akamai、F5等廠商為代表,國內部分WAF安全廠商如綠盟也延展到對API的防護。
3.API融合防護
該技術是近年來興起的解決方案,融合了動態防護、機器學習、行為分析、特征識別等技術,以解決API面臨的新型威脅。國外以Salt Security、Noname Security等廠商為代表,國內安全廠商,如瑞數信息、星瀾科技等也在發力API融合防護技術和方案。
04 意見和建議
針對當前企業普遍缺乏對API安全重要性和特殊性的認知,缺少對此類安全建設的投入,API安全防護手段參差不齊,API系統性安全建設嚴重滯后,安全廠商對全面有效的API防護技術還處于不斷探索階段的狀況,我們提出建議如下:
1.引導和鼓勵企業、安全廠商在深化數字化業務的同時,加快針對API安全新技術新方法的研究與實踐,推動API安全的體系化發展。
2.宣傳表彰API安全防護典型用戶,推廣API安全防護應用優秀案例,帶動更多企業重視完善API安全建設,提升API安全防護能力。
3.積極開展API安全防護標準研究制定,推動引導API防護技術發展。
中國網絡安全產業聯盟(CCIA)主辦,瑞數信息技術(上海)有限公司供稿。
文章來源:CCIA網安產業聯盟
