信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

在數(shù)字化時代，幾乎所有的企業(yè)都需要依賴大量API進行服務(wù)連接、數(shù)據(jù)傳輸和系統(tǒng)控制，在此背景下，確保各類API的安全應(yīng)用也變得越來越重要。然而，有很多企業(yè)還沒有對API應(yīng)用存在的安全威脅給予足夠重視，這也導(dǎo)致了API安全狀況與企業(yè)的實際需要之間存在了很大差距。

API安全挑戰(zhàn)

當(dāng)前，企業(yè)在API應(yīng)用中面臨的安全挑戰(zhàn)主要包括以下方面：

01

擴大企業(yè)攻擊面

隨著云計算技術(shù)的廣泛應(yīng)用，越來越多的Saas化業(yè)務(wù)系統(tǒng)和服務(wù)被遷移上云，在為更多用戶提供服務(wù)的同時，也將大量API暴露到云中，相對于傳統(tǒng)數(shù)據(jù)中心的單點式調(diào)用，云上的東西向和南北向訪問都可能成為威脅API安全的攻擊面。

02

忽視API安全能力構(gòu)建

敏捷開發(fā)模式是當(dāng)今主流開發(fā)模式，敏捷開發(fā)強調(diào)個體和互動、工作的軟件、客戶合作、響應(yīng)變化，雖然提升了創(chuàng)新速度和靈活性，但是對于如何構(gòu)建API安全性卻缺少合適的方法，導(dǎo)致在軟件構(gòu)建過程中難以顧及API安全。

03

API蔓延

API是由程序員編寫，因此除了API應(yīng)用的開發(fā)者，很少有人會意識到這些API的存在，這使得大量的API缺少維護，并經(jīng)常容易被忽略。當(dāng)組織缺乏適當(dāng)?shù)腁PI可見性、治理機制和生命周期策略時，僵尸、影子和幽靈等可怕的API威脅就會出現(xiàn)，并給企業(yè)業(yè)務(wù)開展造成損害。

04

低估API安全風(fēng)險

一些企業(yè)會假設(shè)軟件系統(tǒng)都應(yīng)該按照設(shè)計中的流程運行，從而導(dǎo)致API被攻擊的可能性以及其后果被嚴重低估，因此未采取充分的防護措施。此外，第三方合作伙伴系統(tǒng)的API，也容易被組織所忽視。

傳統(tǒng)安全工具的不足

由于API在設(shè)計架構(gòu)上的特殊性，它們無法通過傳統(tǒng)的應(yīng)用安全工具進行有效的保護，比如API應(yīng)用網(wǎng)關(guān)、日志分析和WAF等。據(jù)最新的API安全研究數(shù)據(jù)顯示，77%的受訪者表示，傳統(tǒng)的安全工具難以滿足其API安全防護需求，主要原因包括：

01

缺乏API特有的功能

傳統(tǒng)安全工具主要是為保護傳統(tǒng)業(yè)務(wù)應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施而設(shè)計的，缺乏解決API特有漏洞所需的具體功能，比如無效的對象級授權(quán)（BOLA）、輸入驗證不充分或訪問速率限制不足。

02

復(fù)雜的API生態(tài)

現(xiàn)代應(yīng)用程序常常包含來自不同提供商的大量API。這種生態(tài)的復(fù)雜性使得傳統(tǒng)安全工具難以全面準(zhǔn)確地監(jiān)控API流量和檢測可疑活動。

03

可見性有限

傳統(tǒng)安全工具無法提供檢測特定API攻擊（比如撞庫攻擊和蠻力破解）所需的可見性，因為這類攻擊往往會發(fā)生在多個API之間，需要實現(xiàn)細粒度的API級可見性。

04

身份驗證不到位

很多企業(yè)中存在大量歷史遺留應(yīng)用程序，因此，使用API而不進行身份驗證是目前很常見的現(xiàn)象。這些未經(jīng)身份驗證的API一旦公開暴露，就會對企業(yè)的應(yīng)用系統(tǒng)安全構(gòu)成威脅。API需要提供比傳統(tǒng)安全工具更高級的身份驗證和授權(quán)機制，比如基于令牌的驗證和授權(quán)。

05

動態(tài)變化的環(huán)境

API是在高度動態(tài)變化的環(huán)境中運行，需要不斷部署新的API，并經(jīng)常更新現(xiàn)有的API。傳統(tǒng)安全工具難以跟上快速的變化，從而導(dǎo)致在API安全控制方面出現(xiàn)缺口，可能被人利用。

新一代API防護技術(shù)

保障API應(yīng)用安全并不僅僅是修復(fù)幾個安全漏洞的問題，它需要安全團隊的全面關(guān)注，并從更廣泛的角度解決API應(yīng)用安全缺口。日前，F(xiàn)5公司安全與反欺詐架構(gòu)師Joshua Goldfarb總結(jié)了新一代API安全防護技術(shù)應(yīng)該具備的10種能力，以幫助企業(yè)在選型API防護方案時提供參考。

01

API資產(chǎn)發(fā)現(xiàn)和可見性

在確保API安全之前，需要先識別它并了解它。出于種種原因，一些API會在企業(yè)IT或安全團隊不知情的情況下創(chuàng)建并使用，這些API并未納入到資產(chǎn)管理對象中，也不受安全和合規(guī)策略及控制措施的制約。因此，API可見性和發(fā)現(xiàn)性是確保API安全的第一步，也是新一代API安全技術(shù)必須要具備的功能。

02

輸出模式驗證

試圖通過使用無效或不當(dāng)?shù)妮斎雭碚T導(dǎo)API錯誤輸出是攻擊者經(jīng)常采用的一種技術(shù)。因此，確保API行為的有效性和正確性是實現(xiàn)整體API安全方法的重要部分。要求所有API請求和響應(yīng)遵守模式和所有規(guī)范是保護這些API免受攻擊和破壞的重要步驟。這將對實現(xiàn)API安全應(yīng)用有很大幫助。

03

安全策略執(zhí)行

企業(yè)都會制定相應(yīng)的API安全策略，但如果沒有嚴格執(zhí)行，這些策略將變得沒有意義。保證企業(yè)的API安全策略（速率限制、IP信譽和允許/拒絕列表等）能夠得到有效的執(zhí)行，是對新一代API安全技術(shù)的最基本要求之一。

04

保護敏感數(shù)據(jù)

API的主要安全漏洞之一就是泄露敏感數(shù)據(jù)。因此，保護敏感數(shù)據(jù)應(yīng)該是任何API安全解決方案的一部分。要保護敏感數(shù)據(jù)安全，需要確保API被正確設(shè)計和保護，還需要驗證敏感數(shù)據(jù)沒有在不恰當(dāng)?shù)貍鬏敾蛐孤丁?/p>

05

濫用和DoS防護

當(dāng)人們想到防范服務(wù)濫用或拒絕服務(wù)（DoS）攻擊時，首先會想到OSI模型的第3層和第4層，而API所在的應(yīng)用層（第7層）卻經(jīng)常會被遺忘。攻擊者們也注意到了這點，隨時準(zhǔn)備針對應(yīng)用層的攻擊，因而新一代API技術(shù)防范濫用和DoS功能的能力必不可少。

06

全面地攻擊防護

攻擊者在不斷尋找破壞和惡意利用API的方法。新一代API安全解決方案將包括基于特征、基于異常和基于AI的攻擊保護機制，以防范各種各樣的新型攻擊。

07

訪問控制

不適當(dāng)?shù)脑L問控制（包括身份驗證和授權(quán)）一直都是困擾API安全應(yīng)用的主要問題之一。無論是由于疏忽、人為錯誤、主觀惡意還是其他任何原因，對API的訪問控制不當(dāng)都意味著災(zāi)難性后果。新一代API安全解決方案必須要能夠提供身份威脅發(fā)現(xiàn)服務(wù)、身份驗證服務(wù)和API訪問控制服務(wù)。

08

惡意用戶檢測

通過機器學(xué)習(xí)可以分析出與API交互的客戶端行為是否存在異常，這有助于在安全攻擊實際發(fā)生前做好預(yù)防。作為整體API安全解決方案的一部分，檢測和阻止惡意用戶有助于更好保護API免受攻擊、破壞和泄密。

09

安全配置和管理

API的配置和管理不當(dāng)導(dǎo)致了大量的安全威脅。因此，新一代API安全解決方案需要支持企業(yè)輕松部署和實施正確的安全模型，這有助于確保API不會被錯誤配置，避免人為API安全漏洞的產(chǎn)生。

10

行為分析

API訪問行為分析應(yīng)該是新一代API安全產(chǎn)品必備的安全能力。通過研究從應(yīng)用程序的端點和API收集而來的各種日志，就能總結(jié)出各類API應(yīng)用請求路徑的行為，并生成一組行為安全性參照指標(biāo)，比如請求大小、響應(yīng)大小、數(shù)據(jù)延遲、請求率、錯誤率以及響應(yīng)吞吐量。這是一個迭代過程，會隨時間的推移而持續(xù)更新，并不斷優(yōu)化。