信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

WAAP（Web應(yīng)用和API保護(hù)平臺(tái)）是帶著“下一代WAF”光環(huán)出道的，旨在超越傳統(tǒng)WAF基于簽名的攻擊防護(hù)方式，并為用戶提供額外的API保護(hù)功能。從本質(zhì)上看，WAAP是一種更高級(jí)的WAF方案。那么，如果企業(yè)使用了WAAP方案，是否還需要部署專用的API安全性產(chǎn)品？在WAAP方案中所融合的API防護(hù)能力，可以實(shí)現(xiàn)企業(yè)所需要的整體API安全防護(hù)策略嗎？

目前，WAAP方案所覆蓋的API安全能力主要包括了API文檔支持、模式分析和驗(yàn)證以及API資產(chǎn)發(fā)現(xiàn)，這對(duì)于保護(hù)API應(yīng)用免受一系列預(yù)先設(shè)置的攻擊（包括SQL注入、代碼執(zhí)行和DDoS攻擊）至關(guān)重要。但是需要指出的是，目前的WAAP方案只能解決API安全威脅中的一部分，因?yàn)槊總€(gè)API應(yīng)用都有自己的底層業(yè)務(wù)邏輯和功能。為了防止API被濫用，企業(yè)需要充分了解其應(yīng)用流量的變化，而這并不是WAF或其進(jìn)化產(chǎn)物WAAP所能夠?qū)崿F(xiàn)的。

因此，隨著現(xiàn)代企業(yè)組織API應(yīng)用的激增，基于WAF或WAAP的防御措施不足以應(yīng)對(duì)如今更復(fù)雜和多樣化的API攻擊威脅。WAAP是在傳統(tǒng)WAF方案上的發(fā)展演進(jìn)，添加一些特定的API保護(hù)功能。但如果企業(yè)組織想要對(duì)所有的API安全威脅都有可見(jiàn)性，那僅靠WAAP方案的API防護(hù)能力是遠(yuǎn)遠(yuǎn)不夠的。

API攻擊的方式與傳統(tǒng)的應(yīng)用程序攻擊有很大不同。隨著企業(yè)組織數(shù)字化轉(zhuǎn)型的深入發(fā)展，其業(yè)務(wù)系統(tǒng)上的API應(yīng)用數(shù)量也在不斷激增，改變和擴(kuò)大了組織的攻擊面。由于每個(gè)API應(yīng)用都有自己獨(dú)特的業(yè)務(wù)邏輯，所以每次API攻擊都是唯一性的，攻擊者會(huì)做大量的探測(cè)來(lái)發(fā)現(xiàn)可以利用的API漏洞。這種偵察活動(dòng)可能需要幾天、幾周甚至幾個(gè)月的執(zhí)行時(shí)間。如果不借助適當(dāng)?shù)纳舷挛男畔z測(cè)，攻擊者可以很輕松地在整個(gè)攻擊生命周期中隱藏或偽裝他們的攻擊行為。

就API安全防護(hù)而言，組織需要深入和廣泛的上下文分析來(lái)發(fā)現(xiàn)潛在的威脅，僅僅依靠WAAP來(lái)提供運(yùn)行時(shí)保護(hù)會(huì)使API應(yīng)用存在幾個(gè)關(guān)鍵的安全隱患。具體來(lái)說(shuō)，WAAP通常缺乏上下文和智能驅(qū)動(dòng)的能力，因此難以實(shí)現(xiàn)以下防護(hù)能力：

01

WAAP無(wú)法監(jiān)控較長(zhǎng)時(shí)間的API攻擊

API攻擊的生命周期一般很長(zhǎng)，因?yàn)楣粽咝枰粩嗟靥綔y(cè)API，以發(fā)現(xiàn)可被利用的漏洞。由于WAAP方案缺乏對(duì)長(zhǎng)期業(yè)務(wù)活動(dòng)的可見(jiàn)性，因此它們無(wú)法發(fā)現(xiàn)惡意行為者為攻擊API所進(jìn)行的持續(xù)性偵察活動(dòng)。為了保護(hù)API及其所傳輸?shù)拿舾袛?shù)據(jù)，企業(yè)不能只是在攻擊危害產(chǎn)生后才開始被動(dòng)應(yīng)對(duì)。即使沒(méi)有API攻擊的所有細(xì)節(jié)，但企業(yè)通過(guò)分析適當(dāng)?shù)腁PI應(yīng)用上下文，也應(yīng)該更早地識(shí)別出攻擊。

02

WAAP無(wú)法識(shí)別API的行為異常

除了隨時(shí)間建立的可見(jiàn)性，API安全解決方案還必須能夠精確識(shí)別與API攻擊活動(dòng)相關(guān)的異常行為，包括擴(kuò)展偵察活動(dòng)、API濫用以及業(yè)務(wù)邏輯操縱攻擊。許多API應(yīng)用都在假設(shè)存在業(yè)務(wù)邏輯缺陷和濫用可能性的情況下運(yùn)行。這是因?yàn)槠髽I(yè)知道，在開發(fā)和測(cè)試周期中識(shí)別和清除所有的業(yè)務(wù)邏輯缺陷和漏洞是非常困難的。因此，準(zhǔn)確識(shí)別行為異常和用戶意圖的能力是API安全策略中最關(guān)鍵的部分。API攻擊是基于一系列活動(dòng)的行為攻擊，高級(jí)API安全解決方案可以判斷生態(tài)系統(tǒng)中什么代表“正常”行為，什么代表可能潛在威脅的“異常”行為。而WAAP方案更善于尋找已知的攻擊模式，由于缺乏行為上下文，WAAP無(wú)法可靠地區(qū)分“普通”和“異常”的API行為，從而觸發(fā)危險(xiǎn)信號(hào)。

03

WAAP缺乏主動(dòng)學(xué)習(xí)能力

基于人工智能的安全解決方案，最大特點(diǎn)就是可以從各種遇到的安全問(wèn)題中主動(dòng)“學(xué)習(xí)”。在安全系統(tǒng)中使用這種學(xué)習(xí)能力可以更準(zhǔn)確地檢測(cè)并驅(qū)動(dòng)更有效的響應(yīng)措施。利用云級(jí)（cloud-scale）大數(shù)據(jù)的力量，在一個(gè)客戶的環(huán)境中學(xué)習(xí)不僅可以豐富算法，反過(guò)來(lái)也可以使其他客戶受益，因?yàn)閷W(xué)習(xí)來(lái)帶的能力提升是以指數(shù)級(jí)方式增長(zhǎng)的。但很可惜，目前的WAAP方案仍然缺乏這種主動(dòng)學(xué)習(xí)的能力。

04

WAAP不能辨別用戶的意圖

云級(jí)、成熟的AI和ML模型可以分析大量的數(shù)據(jù)和流量，在大量的結(jié)構(gòu)和行為屬性中搜索簽名和模式。但這并非WAAP所能做的事情。由于API經(jīng)常被濫用，即便人們完全按照設(shè)計(jì)使用它們。如果攻擊者出于惡意目的竊取并使用合法訪問(wèn)憑證針對(duì)特權(quán)API，WAAP通常無(wú)法發(fā)現(xiàn)攻擊者未經(jīng)授權(quán)的訪問(wèn)及其偽裝攻擊。如果沒(méi)有用戶行為的上下文，這些訪問(wèn)行為對(duì)于WAAP的檢測(cè)機(jī)制來(lái)說(shuō)都是合法的。因?yàn)閃AAP不能在應(yīng)用程序堆棧的不同應(yīng)用層之間提供完整可見(jiàn)性，所以它們不能信息關(guān)聯(lián)發(fā)現(xiàn)潛在的威脅。

結(jié)語(yǔ)

不可否認(rèn)，WAAP比WAF更先進(jìn)，也可以在企業(yè)完整的API安全防護(hù)體系中發(fā)揮著重要作用，但它并不能全面解決API安全問(wèn)題。WAAP方案很難具備深度和廣度的可見(jiàn)性，以及智能并隨時(shí)間變化的上下文分析能力，來(lái)防御不斷演變的API攻擊。僅僅依靠WAAP來(lái)保護(hù)API安全將會(huì)留下大量的安全盲點(diǎn)，將組織置于危險(xiǎn)之中。為了全面保護(hù)企業(yè)的API生態(tài)系統(tǒng)，除了應(yīng)用WAAP之外，組織還需要適當(dāng)?shù)腁PI安全運(yùn)行時(shí)保護(hù)措施。