API防護的最佳實踐(From Gartner)
近期, 全球知名IT咨詢和調研機構Gartner 在 API 安全方面的兩位分析師Mark O'Neill和Dionisio Zumerle,合作舉辦了一場主題為“如何保護API免受攻擊和數據泄露”的網絡研討會。這次會議分享的內容,對于正在探尋API安全保護方案的安全人員來說具備極高價值。
Gartner預測,到2022年,API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介,甚至在2024年API安全問題引起的數據泄露風險將翻倍。而在多種典型的API攻擊方式中,因API邏輯缺陷帶來的攻擊難以避免,無法利用傳統的安全工具來防控。API的安全防護需要在整個生命周期中的所有環節都進行考慮,特別需要注重在API發現及涉敏API的分級分類管理,以及API風險感知能力上的補充及增強。
在本文中,我們將展開分享會中的一些重點并提出觀點,希望可以幫助大家更理解API安全風險及如何進行API保護。
API 已成最常見攻擊媒介
2024年因API濫用導致的數據泄露將翻倍
Gartner曾在其《如何建立有效的API安全策略》報告中預測,“到2022年,API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。”
而最近 ,Gartner 更新了這一預測,稱“到 2024 年,API 濫用和相關數據泄露將幾乎翻倍。” 這說明了API安全問題嚴峻性在不斷加劇,而背后的原因主要是很多企業目前還沒有提高意識去針對性防護,讓API成為了攻擊者可以輕松咬到的肥肉。
在海外安全機構salt發布的《2021 年 API 安全狀況報告》顯示,幾乎所有受訪者 (91%) 在 2020 年都在其所開發的 API 中遭遇了安全事件,這些事實足以讓企業管理者和安全人員敲響警鐘。
典型的API攻擊方式中
API邏輯缺陷帶來的風險最大且難以避免
API攻擊的方式有很多種,Mark 和 Dionisio 描述了其中最典型的四種API被攻擊的方式:
1、存儲庫和存儲中不安全的 API 密鑰
2、應用程序中的硬編碼憑據(包括 API 密鑰)
3、API 邏輯缺陷
4、嗅探 API 調用
從目前來說,以上四種攻擊方式的前兩個和第四個還是能夠通過一些方案來解決,比如以下的這些思路和方式:
1、盡量避免不安全的 API 密鑰暴露在云存儲或 Git 等代碼存儲庫。因為暴露這些憑據可能會讓攻擊者以合法用戶或管理員的身份未經授權訪問 API。
2、API 密鑰和其他憑據不要硬編碼到應用程序和設備中,例如 IoT 端點。原因與上面所說的點類似,查找密鑰和憑據可能會讓攻擊者獲得對 API 的未授權訪問。Dionisio 在會議中也詳細介紹了這一點,并提供了一些思考來避免這種情況的發生,在本文后面的章節,我們會做詳細闡述。
3、攻擊者通常會使用幾種常用工具(例如 Burp Suite)在攻擊期間來重復調用API。開發團隊必須確保攻擊者無法在日志中或通過嗅探找到能夠進行調用的 API ,以防止他們在攻擊中重復這些調用,獲取到關鍵信息。
而第三個被攻擊方式:API 邏輯缺陷,就不是開發團隊能夠去完全避免的了,目前也沒有任何應用程序安全工具能夠完美的解決這個問題。原因正如 Mark 指出的那樣,“每一個 API 都是不同的,產生的漏洞邏輯也是獨一無二,我們必須深度了解 API 的工作原理才能完全保護好它,但無論是從時間成本還是從深入了解 API細節是一項很繁雜的工作來說,這件事情都不現實。
為了說明 API 邏輯缺陷的風險,Mark 重點介紹了OWASP API 安全 TOP 10 列表中的第一大威脅:損壞的對象級授權 (BOLA)。BOLA 是目前大多數 API 攻擊中常見的 API 安全問題,這幾乎在所有 API 漏洞的披露中都突出顯示。而這種威脅正是利用 API 邏輯缺陷,特別是授權缺陷,獲得對數據的未授權訪問。
雖然現在開發人員在安全性方面不斷提高,但在互聯網時代,基本所有企業都在要求開發人員能夠快速開發代碼進行應用功能創新。在這種需要快速開發迭代的要求之下必然會對API安全性造成一定的損害,這就意味著 API 將不可避免地帶有潛在的漏洞。
在研究之中,我們也發現保護 API 的復雜性也在于它很多情況下是由許多應用程序 API 所組合而成,因此API也是眾多邏輯的組合。而且為應用程序開發 API 的不僅僅是一個團隊,有可能是由多個團隊組成,這些團隊也會來自第三方。而利用外部開發的 API 很可能導致對 API 邏輯的可見性和控制變得更少,從而增加了保護它的復雜性。
其次, API 所經歷的變化迭代頻率也相當高。API 通常是啟用 CI/CD 開發實踐的關鍵組件,這意味著它們的功能和邏輯會定期更新,更新頻率可以是每周甚至每天。這種變化頻率,讓API很難有萬無一失的規則來進行動態保護,在開發階段的安全測試工作也難以跟上節奏。
以上的這些因素,清晰的告訴我們不能完全依賴開發人員來解決 API 安全問題,更需要的是通過在API上線運行時加強涉敏數據分級分類管理以及風險感知能力來堵住開發過程中不經意產生的安全疏漏。
對策:
在API整個生命周期進行安全管理
Mark 指出,API的安全防護需要在API整個生命周期中的所有環節都進行考慮。他通過生命周期中的四個關鍵功能概述了在何處進行 API 安全防護:
API 發現(設計時)- 此階段所指的發現包括我們需要清楚的了解是誰在開發/創建 API、正在創建的API有哪些以及這些 API 會用在什么地方、將攜帶著什么類型的信息。
API 安全測試(設計時)- 在此階段進行嚴密的安全測試可以讓 API 在上線之前就能及時發現并解決潛在的漏洞和風險。
API 發現(運行時)- 在此階段對API進行深度的資產梳理和發現,對于幫助安全團隊了解不同應用程序使用的 API 以及它們可能暴露的潛在敏感數據來說非常重要。因為很多時候只有在API運行時才能夠呈現出邏輯全貌。因此在API運行時進行梳理,還能夠幫助識別出在設計開發階段未能識別到的未知影子API和僵尸API。
API 風險感知及阻斷(運行時)- 隨著攻防面的變化及攻擊者手段的隱秘多變,在API運行時加強外部風險感知能力和風險阻斷能力的建設尤為重要,這樣才能夠及時準確的感知到 API 的任何濫用情況,并及時阻斷攻擊者的進一步行動。
分析:
哪些產品有助于 API 安全防控
Mark 和 Dionisio 分析了許多有助于提高 API 安全性的產品。比如在針對API管理目前使用得比較多的 API 網關。Mark 指出 ,API 網關很多時候僅能保護使用該工具注冊的 API,如果開發人員沒有注意進行人工注冊,就管理不到這些API,而隨著業務發展迅速API數量的增加,會沉淀下來大量的未知API,極易造成不可估量的風險。
此外,API安全網關這類產品依賴于傳統的安全防護方式,例如身份驗證、授權、加密、消息過濾和速率限制。雖然這些都是重要的基礎安全功能,但在保護 API 方面卻遠遠不夠。以身份驗證為例,在海外安全機構salt發布《2021 年 API 安全報告》中顯示,96% 的漏洞發生在經過身份驗證的 API 上。也如上面所述,OWASP API 安全 TOP 10 名單上的第一大威脅:損壞的對象級授權 (BOLA),就是攻擊者利用常見的授權缺陷來進行攻擊,足以表明依賴傳統的安全方式,并不能保護好每一個API。
接下來,Mark 也介紹了 Web 應用程序防火墻 (WAF)。他指出該類別中的許多防火墻僅依靠傳統的應用程序安全方法來保護 API,這些方法包括使用簽名來識別已知的攻擊模式。但由于每個 API 都有獨特的漏洞,因此使用簽名這種方式很多時候是無效的。而且這些基于代理的解決方案缺乏對 API 上下文所需的架構理解,因此也無法理解獨特的邏輯,導致無法識別針對獨特漏洞的攻擊者。
Mark提到,目前許多新推出的 API 安全產品,關注到了更多API安全面臨的現實挑戰,開始從 API 安全測試、API 資產發現及管理、 API 訪問控制以及API風險識別等維度來體系化思考 API 安全防護。
在API安全產品的選擇上,企業應該側重考慮應用對API未知風險能夠準確識別的產品。因為網絡攻防無止境,無論哪種防守方式都很難做到100%不被破解,因此對于API安全管理來說,如果能做到對風險的準確感知并及時阻斷,更具有現實價值。同時,在API層面,很難做到強管控。PC互聯網時代,一個軟件或服務在發布或版本更新之前會有很多的流程,導致會經歷很長的時間周期之后才會完成發布,但在當前這一個追求快速迭代的快節奏場景下,用強管控方式必然就會影響到業務。
所以,對API的管控固然重要,但不是最需要關注的點。企業需要的是在清晰了解API全量資產的前提下,更注重API運行時對風險的及時準確識別,這樣才能更好管控API風險。
Mark表示,在選擇API安全產品時重點了解的能力和問題就應該包括:產品提供商是如何發現 API?如何感知風險?如何保障風險識別的準確性?如何監控和檢測異常情況?如何阻止對 API 的攻擊?
永安在線API安全管控平臺
永安在線API安全管控平臺是基于自身多年在黑灰產情報上的強大積累,以精準情報為底座建立的API安全管理產品。它以精準情報建立API安全基線,結合人工智能,構建風險檢測模型,形成API資產管理、API風險感知及溯源三大核心能力,具備誤判率低、可用性高的優點,能切實幫助企業有效提高API安全管理能力。
● 在API資產梳理上,通過旁路流量分析及使用先進的圖模型技術,能自動化對API流量日志中的請求進行路徑轉義歸類,不入侵到當前的業務中,就可自動地發現業務潛在的API接口,并進行梳理、盤點,部署實施成本極低,讓安全部門輕松了解API資產現狀,實時感知每個API接口的訪問情況,并進行管控。
此外,還能實現自動化檢測API傳輸中的數據涉敏情況,幫助業務部門進行有針對性的保護。系統內置最常用的10多種常見敏感數據類型,30多種各行業常用敏感數據類型,包括姓名、身份證、手機號、銀行卡等,并支持業務方動態自定義敏感字段的檢測要求。
● 在API風險感知上,基于黑產攻擊情報,能夠精準感知利用API的邏輯缺陷造成的攻擊事件,及早對攻擊進行預防和阻斷,減少數據外泄和業務損失。
● 在API風險溯源上,依托情報數據能夠外部溯源攻擊源頭的產業鏈上游團伙,還原攻擊場景及攻擊目標;內部溯源違規操作賬號和API,還原攻擊路徑。為下一步的追責處置提供可靠的依據。
結語
IT互聯網產業一直以快著稱,是一個快速增長、快速迭代的領域,稍不留神就會被淘汰出局。與國外相比,中國的互聯網競爭態勢更為激烈,安全基礎設施水平卻有所差距,整體呈現以下特色:
1、業務迭代速度更快,但對安全的投入卻不大,缺少在API設計、研發、服務過程中對安全的投入和考慮;
2、服務部署的邊界多樣化,如IDC、私有云、公有云等混合服務讓風險管控復雜性加大,并且安全基礎設施薄弱,風險的暴露面更大;
3、攻擊者的手段更加豐富,利用海量秒撥和代理IP資源、惡意手機號碼、臨時郵箱,繞過目前常規的安全檢測的策略。
基于這些中國特色的網絡安全現狀,我們除了需要把API安全的概念往前面帶,從API設計、開發、測試、上線各階段進行安全管理,并梳理清晰API資產進行全面管控之外。在面對日新月異的攻擊手法,也更需要提高API風險感知及阻斷能力的建設。而情報對于識別外部風險具有天然的優勢,通過外部情報可以第一時間感知到是否存在針對己方API的攻擊以及攻擊規模,并從情報中提取出攻擊者所使用的技術和攻擊邏輯,指引安全人員進行針對性阻斷。
永安在線基于精準情報能夠給客戶提供一個具備極高精度的風險識別能力且可以處置風險的API安全管控產品。
