企業如何保護API安全?
隨著云計算、移動互聯網、物聯網的蓬勃發展,越來越多的應用開發深度依賴于API之間的相互調用。特別是疫情常態化后,協同辦公、在線教育、直播短視頻等線上應用蓬勃發展,API在其中既能夠起到連接服務的功能,又可以用來傳輸數據,隨著API的絕對數量持續增長,通過API傳遞的數據量也飛速增長。據瑞數信息《2021 Bots自動化威脅報告》顯示,作為一種輕量化的技術,API在全球范圍內受到企業組織的高度青睞,應用接口呈現爆發式增長。相比2019年,2020年API流量同比增長2.8倍,44%的企業正在建造和維護100個或更多的API。
與此同時,API也正成為攻擊者重點光顧的目標。據Salt Security《State of API Security Report, Q3 2021》報告顯示,2021年上半年,整體API流量增長了141%,API攻擊流量則增長了348%,針對API的攻擊流量正在以普通API流量的3倍速度增長。報告還發現,安全問題在API項目關注的名單中名列前茅,很少有受訪者認為他們有信心識別和阻止API攻擊。
這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面,一旦成功攻擊API,就能獲取大量企業核心業務邏輯和敏感數據。除此之外,很多企業并不清楚自己擁有多少API,也并不能保證每個API都具有良好的訪問控制,被遺忘的影子API和僵尸API,為攻擊者提供了唾手可得的機會。相對于傳統Web窗體,攻擊API的成本更低、價值更高。
正因如此,2021年發生了很多重量級的API攻擊事件,引發了社會各界的廣泛關注,例如:黑客通過API漏洞入侵了7億多Linkedln用戶的數據,并在暗網上出售這些數據;黑客攻擊Parler網站的API安全漏洞,非法獲得1000萬用戶超過60TB的數據;Clubhouse因API安全漏洞泄露了130萬條用戶記錄。
可以預見,2022年針對API的攻擊將成為惡意攻擊者的首選,越來越多的黑客利用API竊取敏感數據并進行業務欺詐,為API構建安全防護體系已勢在必行。
新興網絡威脅下,傳統API網關局限性凸顯
一個嚴峻的事實是,API發展到現在,授權認證體系已經比較完善,但是在授權之后訪問的控制相對薄弱。管控的顆粒度因API接口業務需要而不同,在帶來訪問便利的同時,也可能被惡意利用,帶來信息泄漏和被濫用的風險。API設計之初就是為程序調用準備的,天然是工具行為,利用自動化工具通過合法授權下的API濫用,已成為API攻擊的難題。從API的提供方角度,為使用和管理的方便,過度的API開放和寬泛的API調用參數返回,既可能被惡意利用,也可能無形中造成信息泄漏和被濫用的風險。因此傳統API安全網關提供的身份認證、權限管控、速率限制、請求內容校驗等安全機制幾乎無用武之地。
例如,身份認證機制可能存在單因素認證、無口令強度要求、密碼明文傳輸等安全隱患,而訪問授權機制風險通常表現為用戶權限大于其實際所需權限。同時,即使建立了身份認證、訪問授權、敏感數據保護等機制,有時仍無法避免攻擊者以機器模擬正常用戶行為、運用大量代理IP進行大規模攻擊等多種方式來避免速率限制。
在如今互聯網的開放場景下,API的應用和部署面向個人、企業、組織機構等不同用戶群,是外部網絡攻擊的主要對象之一,因此更需時刻警惕外部安全威脅。針對API的常見網絡攻擊包括:重放攻擊、DDoS 攻擊、注入攻擊、會話 cookie 篡改、中間人攻擊、內容篡改、參數篡改等,這些新型的安全威脅正在變得更加復雜化、多樣化、隱蔽化、自動化。
然而,隨著API訪問環境的愈發開放、API數量的極速攀升,以及API本身的快速變化,早期的防護技術,如基于規則的傳統WAF防護技術、API網關的身份認證和鑒權技術,已經無法滿足現有對于API接口被濫用、越權訪問、僵尸API、信息泄漏等安全問題的防護需求,新一代基于動態技術、Bots識別、行為分析的融合防護體系逐步興起。
瑞數API安全管控平臺 助力企業打贏API保衛戰
有別于很多從API安全網關角度切入的安全廠商,瑞數信息以AI人工智能為支撐的行為分析技術作為突破口,推出一種新興API融合防護方案——瑞數API安全管控平臺(API BotDefender),集成了API資產發現、攻擊檢測、參數合規檢測、行為檢測、敏感數據識別、異常行為攔截處置等功能,覆蓋了從資產發現到攔截處置的全鏈條。
具體而言,瑞數API安全管控平臺(API BotDefender)包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊,每個模塊可以獨立工作,也可以協同工作,為API接口提供完整的安全管控方案。
- API資產管理
由于API數量增長太快,很多企業都不清楚自己擁有多少個API,以及API處于什么樣的狀態。如果沒有深度的API資產梳理,安全團隊根本無法了解企業API的真實資產情況,也無法預估數據暴露的風險。
因此,瑞數信息引入API資產管理,通過對訪問流量進行分析,自動發現流量中的API接口,對API接口進行自動識別、梳理和分組。同時,通過從API網關上獲取API注冊數據,與API資產進行對比,從而發現未知API接口。
- API攻擊防護
通過自動化、多樣化的API網絡攻擊,黑客不僅可以達到消耗系統資源、中斷服務的目的,還可以通過逆向工程,掌握 API 應用、部署情況,并監聽未加密數據傳輸,竊取企業數據。
對此,瑞數信息綜合利用智能規則匹配及行為分析的智能威脅檢測引擎,持續監控并分析流量行為,有效檢測威脅攻擊。智能威脅檢測引擎能在用戶與應用程序交互的過程中收集數據,并利用統計模型來確定HTTP請求的異常。一旦確定異常情況,智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊,并對安全攻擊進行實時防護。同時,對API請求參數進行合規管控,對不符合規范的請求參數實時管控。
- 敏感數據管控
如果企業未對敏感信息等數據進行脫敏處理,且未加密傳輸,一旦流量被截獲、破解,將對企業、公民個人權益造成嚴重影響。此外,未脫敏數據在傳輸至前端時,如被接收方終端緩存,也可能導致敏感數據暴露。
瑞數API安全管控平臺(API BotDefender)因此會對API傳輸中,諸如手機號、銀行卡號、身份證號等的敏感數據進行識別和過濾,并可以針對敏感數據進行脫敏或者實時攔截,規避數據安全風險。
- 訪問行為管控模塊
如今API攻擊多以合法身份登錄后,模擬正常操作、多源低頻請求,因此企業很難察覺訪問行為是否異常。
瑞數API安全管控平臺(API BotDefender)通過建立多維度訪問基線和API威脅建模,對API接口的訪問行為進行監控和分析。一方面,監控基線偏離狀況,針對高頻情況等進行防護,防止高頻情況等造成的API性能瓶頸;另一方面,高效識別異常訪問行為,避免惡意訪問造成的業務損失。
同時,為了防止非法API調用,瑞數API安全管控平臺(API BotDefender)通過從API網關上獲取API認證和鑒權數據,防止未授權的API調用,保障API接口只能被合法用戶訪問。
總體而言,相較于傳統API安全方案,瑞數API安全管控平臺(API BotDefender)著重強調API安全防護能力的提升,以行為分析為基礎實現從API接入客戶端到API服務器端的全程式API安全威脅防護,其優勢也十分明顯:
- API全自動發現
瑞數API安全管控平臺(API BotDefender)的“Discover發現模塊”,可以快速自動地發現API,并且針對發現的API給出明確的認定;同時,顯示出清晰的API列表,對API接口的訪問情況一目了然。
- 構建API畫像
瑞數API安全管控平臺 (API BotDefender),采用全程式安全威脅防護技術,從而利于精準地構建API畫像;通過API畫像,可以快速預覽各個業務的API情況,包括使用情況、異常情況、訪問來源等。
- API全渠道感知
提供各種SDK,方便與各類API來源應用進行集成,可以對來源環境和用戶行為進行感知。
- 動態響應防護
可根據行為分析的結果或指定條件,進行動態響應防護,提升通過逆向探測或機器學習分析等攻擊手段的難度。
此外,瑞數API安全管控平臺 (API BotDefender)的部署方式非常靈活,支持軟件、硬件和云的方式進行部署,可以大大降低部署、管理和維護成本。同時,占用資源少,不影響服務器的正常運行,可以實現應用無感知部署。
目前,瑞數信息憑借其突出的技術實力和防護能力,其產品在金融、政府、運營商三大行業得到了成功應用,“瑞數API安全管控解決方案”更榮獲“2021金融業新技術應用創新突出貢獻獎”,表明了行業客戶對瑞數技術創新能力和優異應用效果的充分認可。在API安全日益重要的今天,如瑞數API BotDefender這類具備先進防護策略和創新技術的API安全產品,可以更好地幫助企業應對未知威脅、安全管控API,保證業務的正常高效運轉。
