信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”，由安全牛編譯整理。

面向API應(yīng)用的網(wǎng)絡(luò)攻擊已經(jīng)開始對(duì)各大企業(yè)組織造成嚴(yán)重的破壞。因此，每家組織都需要提升對(duì)API應(yīng)用安全的重視度。日前，網(wǎng)絡(luò)安全研究員Sam Curry和他領(lǐng)導(dǎo)的研究團(tuán)隊(duì)，在數(shù)十家全球頂級(jí)汽車制造商生產(chǎn)的車輛和車聯(lián)網(wǎng)服務(wù)中，發(fā)現(xiàn)了許多API應(yīng)用缺陷，利用這些缺陷，攻擊者可以進(jìn)行廣泛的惡意活動(dòng)，從非法竊取車主個(gè)人隱私信息，到遠(yuǎn)程解鎖車輛、監(jiān)控車輛等。

Sam Curry表示，通過深入的研究分析和實(shí)際測(cè)試，他的團(tuán)隊(duì)發(fā)現(xiàn)API應(yīng)用安全問題幾乎影響了目前所有主流的汽車品牌，包括奔馳、寶馬、勞斯萊斯、法拉利、保時(shí)捷、捷豹、路虎、本田、英菲尼迪、日產(chǎn)、謳歌、豐田、福特等20多個(gè)知名品牌。此外，研究團(tuán)隊(duì)還發(fā)現(xiàn)，在Reviver、SiriusXM和Spireon等主流車聯(lián)網(wǎng)服務(wù)商的應(yīng)用方案中，同樣存在大量嚴(yán)重的API安全缺陷。

據(jù)了解，通過利用所發(fā)現(xiàn)的API安全缺陷，研究人員成功進(jìn)入了配置不當(dāng)?shù)腟SO系統(tǒng)，成功訪問了奔馳、寶馬等車企的多個(gè)內(nèi)部業(yè)務(wù)系統(tǒng)，以及其中大量的員工和客戶信息數(shù)據(jù)。例如對(duì)奔馳公司的測(cè)試中，研究人員成功訪問了多個(gè)私有GitHub實(shí)例、Mattermost上的內(nèi)部聊天頻道、服務(wù)器、Jenkins和AWS實(shí)例，并連接到客戶車輛的XENTRY系統(tǒng)等；而在對(duì)寶馬公司的測(cè)試中，研究人員通過訪問內(nèi)部經(jīng)銷商網(wǎng)站，超權(quán)限查詢了客戶汽車的VIN，并檢索出了包含敏感車主詳細(xì)信息的銷售文檔。一旦這些安全問題被真實(shí)的攻擊者發(fā)現(xiàn)，后果將不堪設(shè)想。

API已成為關(guān)鍵性安全問題

其實(shí)，API應(yīng)用安全問題不僅僅是在汽車制造領(lǐng)域存在。一項(xiàng)最新的研究數(shù)據(jù)表明，在過去的一年中，大約95%的受訪企業(yè)遭遇過API應(yīng)用安全事件。此外，由于API安全威脅，50%以上的受訪企業(yè)不得不推遲業(yè)務(wù)應(yīng)用程序的發(fā)布和更新。

為什么API安全已成為一個(gè)快速發(fā)展且急需有效解決的安全問題呢？主要原因如下：

不斷變化的環(huán)境：隨著組織在其信息化基礎(chǔ)架構(gòu)中添加更多的應(yīng)用程序和軟件，它們?cè)诓恢挥X中集成了大量不同的API應(yīng)用。所有這些API都是不同的，是由不同的開發(fā)者設(shè)計(jì)提供。因此，一般性的安全方法無法充分保護(hù)如此多樣化的API應(yīng)用；

獨(dú)特的網(wǎng)絡(luò)攻擊：由于每個(gè)API都很獨(dú)特，因此它也往往會(huì)存在獨(dú)特的安全缺陷，攻擊者會(huì)發(fā)現(xiàn)利用這些缺陷將有利可圖。不同于傳統(tǒng)的跨站腳本和SQL注入攻擊，API應(yīng)用缺陷更多是因?yàn)闃I(yè)務(wù)邏輯方面的不足導(dǎo)致，利用這些漏洞會(huì)影響組織數(shù)據(jù)的完整性；

漏洞檢測(cè)延遲：傳統(tǒng)的應(yīng)用系統(tǒng)測(cè)試工具常在開發(fā)的后期階段使用。然而面對(duì)API應(yīng)用時(shí)，這種延遲掃描的效果往往不是很理想。此外，在開發(fā)的最后階段使用傳統(tǒng)的安全工具可能會(huì)生成更多的誤報(bào)。

API安全防護(hù)的挑戰(zhàn)

API的安全挑戰(zhàn)正在不斷出現(xiàn)，但是企業(yè)在大量應(yīng)用安全防護(hù)工具應(yīng)對(duì)API安全威脅時(shí)卻表現(xiàn)得差強(qiáng)人意，原因是什么呢？

01

API不同于Web應(yīng)用程序

對(duì)于API安全防護(hù)而言，大多數(shù)目前的應(yīng)用程序安全工具無效的主要原因是IT團(tuán)隊(duì)采用安全方法太傳統(tǒng)。企業(yè)先要意識(shí)到雖然API是Web應(yīng)用程序基礎(chǔ)設(shè)施的一部分，但它不僅僅是Web應(yīng)用程序。兩者不一樣，它們有不同的安全漏洞，因此需要專門的保護(hù)策略。

比如說，失效的對(duì)象級(jí)授權(quán)（BOLA）是較為普遍的API安全問題之一。當(dāng)API將處理對(duì)象標(biāo)識(shí)符的端點(diǎn)暴露在已驗(yàn)證但未授權(quán)的用戶面前時(shí)，就存在這個(gè)問題。由于大量復(fù)雜的微服務(wù)參與其中，BOLA問題是傳統(tǒng)Web應(yīng)用程序安全工具無法充分解決的。但是事實(shí)上，很多企業(yè)繼續(xù)通過DAST工具來處理這類安全問題。由此帶來的虛假安全感，正是API安全問題不斷嚴(yán)重的原因之一。

02

應(yīng)用程序安全不是為了保護(hù)API

大多數(shù)應(yīng)用程序安全工具不能有效保護(hù)API應(yīng)用的主要原因在于其固有的技術(shù)局限性。

比如說，靜態(tài)應(yīng)用程序安全測(cè)試（SAST）不適用于API，是因?yàn)镾AST主要依靠源代碼檢查和數(shù)據(jù)流建模來確定漏洞是如何發(fā)生的。由于使用復(fù)雜的第三方框架和庫，SAST掃描器無法將相同的方法運(yùn)用于API。因此，在API上運(yùn)行SAST工具時(shí)，將會(huì)生成太多的漏報(bào)，從而使實(shí)際的安全漏洞無法被有效檢測(cè)出來。

03

API安全測(cè)試延遲

使用應(yīng)用程序安全工具來檢查應(yīng)用程序的安全性常出現(xiàn)在軟件開發(fā)生命周期（SDLC）的后期，因?yàn)檫@些工具需要切實(shí)可行的應(yīng)用程序來執(zhí)行測(cè)試。然而，這種方法不應(yīng)該運(yùn)用于API安全。由于基于微服務(wù)為中心的架構(gòu)，開發(fā)人員需要在開發(fā)過程中測(cè)試各個(gè)API的漏洞。這種快速掃描讓組織可以將安全得多的API部署到基礎(chǔ)設(shè)施中，盡量降低未來的風(fēng)險(xiǎn)。

API安全方案的改進(jìn)

隨著信息技術(shù)的快速發(fā)展，API安全防護(hù)也在持續(xù)演進(jìn)過程中，多向量、自動(dòng)化工具、武器化人工智能類的攻擊將成為API攻擊的主流，相應(yīng)的，安全防護(hù)措施也需加強(qiáng)系統(tǒng)化、自動(dòng)化、深度學(xué)習(xí)、智能化能力，向以體系對(duì)抗體系，以智能防護(hù)智能的方向演進(jìn)。

傳統(tǒng)的應(yīng)用程序安全工具不會(huì)毫無用處，企業(yè)仍然需要部署Web應(yīng)用防火墻（WAF）、SAST和DAST等工具。但是為了實(shí)現(xiàn)更好的API防護(hù)效果，企業(yè)組織應(yīng)該提前規(guī)劃，積極采用更先進(jìn)的方法，結(jié)合人工智能、機(jī)器學(xué)習(xí)和行為分析等現(xiàn)代技術(shù)來檢測(cè)API應(yīng)用中的缺陷。企業(yè)也可以考慮采用托管式的API保護(hù)服務(wù)，在此模式下，安全人員將不依賴過去的內(nèi)容輸入驗(yàn)證，即可快速檢測(cè)新的安全漏洞，并API應(yīng)用的特點(diǎn)提供針對(duì)性的保護(hù)。

此外，開發(fā)人員必須通過安全“左移”方法，確保其API在開發(fā)的早期階段，可以通過有效的方法檢測(cè)漏洞和修復(fù)漏洞。這有助于保證API實(shí)際應(yīng)用后的可靠性和安全性。