作为移动互联网生态的重要信息基础设施,API承载着数据交互的重要作用,在开发新的工具和产品或管理现有工具和产品时,强大灵活的API可以简化应用开发、管理和使用,节省时间和成本,为企业带来更多创新机遇。
瑞数信息在《2021 Bots自动化威胁报告》中提到,作为一种轻量化的技术,API在全球范围内受到企业组织的高度青睐,应用接口呈现爆发式增长。相比2019年,2020年API流量同比增长2.8倍,44%的企业正在建造和维护100个或更多的API。
但伴随越来越多的应用开发深度依赖于API之间的相互调用,API的绝对数量及调用量呈井喷式增长,其安全风险已经成为企业面临的首要问题,身份验证、授权和意外泄露或数据泄露等安全挑战随之而来。
Gartner也曾预测,到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。
API面临数据安全与业务安全的双重风险
API的高价值使之成为黑客的觊觎目标,API一旦被恶意利用,黑客有可能获取大量敏感数据,给企业带来严重损失。包括FaceBook、Linkedin这样具备一定安全能力的大型互联网公司都遭遇了因API安全问题导致的数据泄漏事件。
·2018年10月,Facebook对外公布了一起大规模数据泄露事件,攻击3000万用户的隐私账号信息被攻击者泄露。Facebook表示,攻击者利用了Facebook“ViewAs”功能接口的三个漏洞,用户可以通过该功能看到个人主页的展示样式,这一功能被攻击者利用获取了大量用户的隐私信息;
·2021年4月,一个自称GOD User TomLiner的攻击者通过API漏洞入侵了7亿多Linkedln用户的数据,并在 RaidForums暗网论坛上出售这些数据,领英回应称,该数据集是攻击者“从领英抓取的”。
据永安在线最新发布的API研究报告(2022年Q1)显示,从API攻击场景来看,主要集中在营销作弊、数据风险、账号风险和流量欺诈。其中,营销作弊场景吸收了一半的API攻击。营销作弊是2022年1季度最主要的API攻击场景,接近半数的API攻击都瞄准了该领域。
不难看出,针对API的攻击正成为黑灰产及黑客的首选,相较于传统窗体和Web页,API承载的数据价值更大、攻击成本更低,通过攻击API来获取高价值数据、进行业务欺诈等成为越来越多非法分子的常规手段。
传统API安全网关逐渐失灵
安全419在此前与多家安全厂商的沟通交流中了解到,甲方企业在API安全管理方面主要面临两大难题:
其一是,许多甲方企业对自身API资产情况并不掌握,不清楚自身企业当前有多少API,也不能保证当前每个API都具有很良好的访问控制。此外,就算很多企业都采购了API安全网关产品,但也不能保证所有的系统都会上网关。比如,在一些短期的营销活动中,相关的API就会被忽略,在活动结束后变成被遗忘的影子API和僵尸API,为攻击者敞开大门。
其二是,利用自动化工具在合法授权下针对API发起的攻击数量激增,攻击者大量采用以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。针对API的攻击正在变得更加复杂化、多样化、隐蔽化、自动化。在这样的攻击手段下,传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制逐渐失灵。
在API这一并不新鲜的战场上,攻防双方已经展开了更进一步的“军备竞赛”。安全团队和攻击者都在将更复杂的技术带入竞争环境中。攻击者必然会越来越多的将注意力转向API方向,并且无疑会开发出更多更先进的攻击工具和方法对暴露在外的API加以利用。当然,作为网络安全的防守方也并不会束手就缚。
API安全成为热点赛道 多家安全厂商提出创新思路
纵观当前火热的API安全赛道,众多的厂商都在以各自的视角去看待、思考,并结合自身能力提出安全建设思路,为API接口提供完整的安全管控方案。
在本篇中,我们将对上文曾提到过的永安在线和瑞数信息这两家安全厂商的API安全管控平台进行简要介绍。个人看来,这两家的API安全思路具有明显的说服力与创新价值。
•永安在线API安全管控平台
——基于情报构建API行为基线
永安在线API安全管控平台通过旁路流量分析,能够以持续动态的方式去梳理API资产,做到只要API一上线或开始服务就能够被快速梳理出来,同时还可以掌握到哪些敏感数据是在流动的。
作为一家以黑灰产情报能力建设知名的安全厂商,基于情报所能赋予的能力,永安在线可以保证针对API的攻击被及时发现并阻断,而且精准度很高,而这些特点则进一步形成了该平台在API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面的优势。通过威胁情报来构建API行为基线,结合其能力去发现其中是否存在风险特征,相对而言是一种具有更高精确度且更为便捷的方式。
通过情报为业务建立API安全基线的API安全管控平台,在实际应用中具备误判率低,可用性高的特点,能够做到及时全面感知企业外部API风险的同时,基于精准预警输出的攻击者IOC情报,可以联动WAF或风控系统等快速处置攻击风险,从而帮助企业实现更好的进行API风险识别及阻断。
•瑞数API安全管控平台
——以AI为支撑的行为分析技术作为突破口
有别于很多从API安全网关角度切入的安全厂商,瑞数信息以AI人工智能为支撑的行为分析技术作为突破口,推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender),集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能,覆盖了从资产发现到拦截处置的全链条。
瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。
同时,为了防止非法API调用,瑞数API安全管控平台(API BotDefender)通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。
总体而言,相较于传统API安全方案,瑞数API安全管控平台(API BotDefender)着重强调API安全防护能力的提升,以行为分析为基础实现从API接入客户端到API服务器端的全程式API安全威胁防护,其优势也十分明显。
事实上,除了这两家外,业内如网宿科技、星阑科技、全知科技等相关厂商,也分别从API资产管控以及数据安全保护的角度提出了自己的解决方案,助力甲方企业实现对API资源的安全管理和有效调用。
安全419近期也将就API安全相关话题,与上述的部分API安全相关厂商展开沟通对话,进一步了解各自技术优势亮点,分享各家厂商在API安全方面的实践经验和建设思路,欢迎关注。
京公网安备 11010802033237号
