API安全防護難度驟增
隨著API技術的發展和廣泛應用,近年來黑產通過API接口實施的攻擊越來越多,對眾多企業和用戶都產生了嚴重影響。盡管已經越來越多的企業意識到保護API接口安全的重要性,但因其引發的安全事件仍然不斷發生。
· 2021年4月,Facebook平臺上發生5億用戶數據泄漏,源于業務API接口泄漏所致;
· 2020年6月,某平臺發生涉及11億條信息的數據泄露事件,與其兩個API接口有關;
· 2020年3月,某平臺的3.5億數據泄露,來自于業務API接口被非法流量調用40億次所致;
……
相關安全事件仍然不斷發生的背后,折射出API安全防護存在著難以解決的難點:
一、API資產管理方面:
與日俱增的API理不清、涉敏API管不住
目前無論是API的數量還是API的復雜度,都在大幅度增加。對于企業來說,與其相關的安全管理能力卻很難跟上。很多企業存在難以梳理清楚自己有多少API、是什么類型的API、哪些API攜帶了什么類型的敏感信息,攜帶敏感數據的API是否應該攜帶,其數據處理方式是否合法以及涉敏數據是否被惡意使用等難題。
這些關鍵信息的缺失,讓企業對于潛在安全風險很難進行有效理解和管控。正如我們永遠不知道看不見的地方正在發生罪惡,你也不可能對看不見的API施加安全策略。
在永安在線幫助眾多客戶進行API資產梳理中就發現,客戶記錄文檔里的API與梳理出來的 API 進行比較,有明顯的數量差距。如,某垂直領域頭部企業的文檔中記錄了3220個API,但經過永安在線API識別引擎的梳理后,得出的API總量達4310個,其中有43個API存在涉敏情況。多出來的API大部分為歷史系統和老版本的API以及因人為疏忽未被記錄的API。
經過對API風險的排查之下,發現有21個API存在被黑灰產攻擊的風險,可能會導致該平臺發生數據泄漏、業務作弊等。而正是這些被遺忘的僵尸API和影子 API 讓其存在如此大的安全風險敞口。
二、API風險發現方面:
攻擊隱藏在符合邏輯的合法訪問請求中
隨著攻擊者的手段不斷變化和升級,現在的攻擊流量能夠偽裝成符合邏輯的正常訪問請求,隱藏在海量的正常的業務流量當中,安全團隊定位出風險流量的難度大幅增加,容易造成許多 “壞人進來了不知道,竊取完成果也不知道,事后輿論發酵監管層問詢才回過神來”的局面。
此外,當API承載的邏輯越來越復雜,API不可避免的存在著可以被利用的Bug或邏輯缺陷。而且,每一個 API 都不同,產生的漏洞邏輯也是獨一無二,許多掃描工具都依賴于已知規則和行為識別風險,這種方法很難檢測或阻止黑產利用每個API中獨特的業務邏輯缺陷來進行的攻擊。
例如,在2020年3月份發生的某平臺數億條用戶信息被泄漏事件,就是源于API業務邏輯缺陷以及非法流量隱藏在正常訪問流量中調用接口超過40億次所導致。
這個事件中,黑產是通過相關API接口批量手機號上傳通訊錄,從而匹配出真實的平臺用戶賬號信息。但實際上很多社交App都有通過通訊錄匹配好友的功能,該平臺允許的是合法用戶所做的合法操作,從企業甲方視角來說有利于用戶體驗。但在黑產攻擊的視角中這就是一個可利用的業務邏輯漏洞,并且此API接口中攜帶著多個維度的敏感信息,更讓黑產趨之若鶩。此外,黑產能使用代理、秒撥來隱藏或偽造自身IP,將風險流量隱藏在正常用戶訪問請求中,就算調用接口高達40億次,但從行為規則上看還是正常的,企業發現風險的難度很大。
從這個案宗,可以清晰的看到API安全管控面臨的兩大難點的普遍性及解決的困難程度。并且隨著攻防面及黑產攻擊方式的變化,不論是基于規則的方式預警可疑API風險,還是基于文件行為來防控風險,都無法解決這些難點。
面對很多安全廠商都難以突破的挑戰。永安在線在過去多年也在積極探索解決之道,并走出了一條不同于傳統網絡安全企業的新路,推出新一代API安全管控平臺,能夠全面保障企業每一個API的安全運行。
以精準情報建立API安全基線,
提供API安全管理的更優解
有別于很多以規則和行為特征為基礎或以AI建立業務基線的方式感知風險的安全廠商,永安在線在技術路線上選擇了基于自身強大的情報能力建立業務風險基線,結合人工智能,構建風險檢測模型,形成API資產管理、API風險感知及溯源三大核心能力,具備誤判率低、可用性高的優點,能切實幫助企業有效提高API安全管理能力。
在API資產梳理上,能夠幫助企業自動化梳理業務API調用關系,整理涉敏數據,對資產分級分類,輕松發現及管理所有API。
在API風險感知上,通過精準情報能力,能夠幫助企業準確描繪出業務風險全景圖,基于該穩定的風險基線,讓風險事件發現更精準和全面。此外,情報還能對識別出的風險能給出具體的攻擊團伙以及攻擊者的攻擊方法,讓風控變得具備可解釋性,為下一步的打擊追責提供有利支撐。
結 語
Gartner預測:“到2022年,API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介”。對API進行全面的安全管理成為企業業務能否健康發展的關鍵因素。企業需要對API資產進行更系統、全面的管理,以更好的管控敏感數據的合規開放;但世界上沒有100%完美的管理,風險還是會發生,企業更需要具備能夠精準感知內外部風險的能力,才能夠有效把控API風險事件的發生。
