2022年API成为恶意攻击首选,企业如何保护API安全?

随着云计算、移动互联网、物联网的蓬勃发展,越来越多的应用开发深度依赖于API之间的相互调用。特别是疫情常态化后,协同办公、在线教育、直播短视频等线上应用蓬勃发展,API在其中既能够起到连接服务的功能,又可以用来传输数据,随着API的绝对数量持续增长,通过API传递的数据量也飞速增长。据瑞数信息《2021 Bots自动化威胁报告》显示,作为一种轻量化的技术,API在全球范围内受到企业组织的高度青睐,应用接口呈现爆发式增长。相比2019年,2020年API流量同比增长2.8倍,44%的企业正在建造和维护100个或更多的API。

与此同时,API也正成为攻击者重点光顾的目标。据Salt Security《State of API Security Report, Q3 2021》报告显示,2021年上半年,整体API流量增长了141%,API攻击流量则增长了348%,针对API的攻击流量正在以普通API流量的3倍速度增长。报告还发现,安全问题在API项目关注的名单中名列前茅,很少有受访者认为他们有信心识别和阻止API攻击。

这是由于API的广泛使用和链接为恶意攻击者提供了广阔的攻击面,一旦成功攻击API,就能获取大量企业核心业务逻辑和敏感数据。除此之外,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API,为攻击者提供了唾手可得的机会。相对于传统Web窗体,攻击API的成本更低、价值更高。

正因如此,2021年发生了很多重量级的API攻击事件,引发了社会各界的广泛关注,例如:黑客通过API漏洞入侵了7亿多Linkedln用户的数据,并在暗网上出售这些数据;黑客攻击Parler网站的API安全漏洞,非法获得1000万用户超过60TB的数据;Clubhouse因API安全漏洞泄露了130万条用户记录。

可以预见,2022年针对API的攻击将成为恶意攻击者的首选,越来越多的黑客利用API窃取敏感数据并进行业务欺诈,为API构建安全防护体系已势在必行。

新兴网络威胁下,传统API网关局限性凸显

一个严峻的事实是,API发展到现在,授权认证体系已经比较完善,但是在授权之后访问的控制相对薄弱。管控的颗粒度因API接口业务需要而不同,在带来访问便利的同时,也可能被恶意利用,带来信息泄漏和被滥用的风险。API设计之初就是为程序调用准备的,天然是工具行为,利用自动化工具通过合法授权下的API滥用,已成为API攻击的难题。从API的提供方角度,为使用和管理的方便,过度的API开放和宽泛的API调用参数返回,既可能被恶意利用,也可能无形中造成信息泄漏和被滥用的风险。因此传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制几乎无用武之地。

例如,身份认证机制可能存在单因素认证、无口令强度要求、密码明文传输等安全隐患,而访问授权机制风险通常表现为用户权限大于其实际所需权限。同时,即使建立了身份认证、访问授权、敏感数据保护等机制,有时仍无法避免攻击者以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。

在如今互联网的开放场景下,API的应用和部署面向个人、企业、组织机构等不同用户群,是外部网络攻击的主要对象之一,因此更需时刻警惕外部安全威胁。针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化。

然而,随着API访问环境的愈发开放、API数量的极速攀升,以及API本身的快速变化,早期的防护技术,如基于规则的传统WAF防护技术、API网关的身份认证和鉴权技术,已经无法满足现有对于API接口被滥用、越权访问、僵尸API、信息泄漏等安全问题的防护需求,新一代基于动态技术、Bots识别、行为分析的融合防护体系逐步兴起。

瑞数API安全管控平台 助力企业打赢API保卫战

有别于很多从API安全网关角度切入的安全厂商,瑞数信息以AI人工智能为支撑的行为分析技术作为突破口,推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender),集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能,覆盖了从资产发现到拦截处置的全链条。

具体而言,瑞数API安全管控平台(API BotDefender)包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,每个模块可以独立工作,也可以协同工作,为API接口提供完整的安全管控方案。

  • API资产管理

由于API数量增长太快,很多企业都不清楚自己拥有多少个API,以及API处于什么样的状态。如果没有深度的API资产梳理,安全团队根本无法了解企业API的真实资产情况,也无法预估数据暴露的风险。

因此,瑞数信息引入API资产管理,通过对访问流量进行分析,自动发现流量中的API接口,对API接口进行自动识别、梳理和分组。同时,通过从API网关上获取API注册数据,与API资产进行对比,从而发现未知API接口。

  • API攻击防护

通过自动化、多样化的API网络攻击,黑客不仅可以达到消耗系统资源、中断服务的目的,还可以通过逆向工程,掌握 API 应用、部署情况,并监听未加密数据传输,窃取企业数据。

对此,瑞数信息综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻击。智能威胁检测引擎能在用户与应用程序交互的过程中收集数据,并利用统计模型来确定HTTP请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击,并对安全攻击进行实时防护。同时,对API请求参数进行合规管控,对不符合规范的请求参数实时管控。

  • 敏感数据管控

如果企业未对敏感信息等数据进行脱敏处理,且未加密传输,一旦流量被截获、破解,将对企业、公民个人权益造成严重影响。此外,未脱敏数据在传输至前端时,如被接收方终端缓存,也可能导致敏感数据暴露。

瑞数API安全管控平台(API BotDefender)因此会对API传输中,诸如手机号、银行卡号、身份证号等的敏感数据进行识别和过滤,并可以针对敏感数据进行脱敏或者实时拦截,规避数据安全风险。

  • 访问行为管控模块

如今API攻击多以合法身份登录后,模拟正常操作、多源低频请求,因此企业很难察觉访问行为是否异常。

瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。

同时,为了防止非法API调用,瑞数API安全管控平台(API BotDefender)通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。

总体而言,相较于传统API安全方案,瑞数API安全管控平台(API BotDefender)着重强调API安全防护能力的提升,以行为分析为基础实现从API接入客户端到API服务器端的全程式API安全威胁防护,其优势也十分明显: 

  • API全自动发现

瑞数API安全管控平台(API BotDefender)的“Discover发现模块”,可以快速自动地发现API,并且针对发现的API给出明确的认定;同时,显示出清晰的API列表,对API接口的访问情况一目了然。

  • 构建API画像

瑞数API安全管控平台 (API BotDefender),采用全程式安全威胁防护技术,从而利于精准地构建API画像;通过API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等。

  • API全渠道感知

提供各种SDK,方便与各类API来源应用进行集成,可以对来源环境和用户行为进行感知。

  • 动态响应防护

可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。

此外,瑞数API安全管控平台 (API BotDefender)的部署方式非常灵活,支持软件、硬件和云的方式进行部署,可以大大降低部署、管理和维护成本。同时,占用资源少,不影响服务器的正常运行,可以实现应用无感知部署。

目前,瑞数信息凭借其突出的技术实力和防护能力,其产品在金融、政府、运营商三大行业得到了成功应用,“瑞数API安全管控解决方案”更荣获“2021金融业新技术应用创新突出贡献奖”,表明了行业客户对瑞数技术创新能力和优异应用效果的充分认可。在API安全日益重要的今天,如瑞数API BotDefender这类具备先进防护策略和创新技术的API安全产品,可以更好地帮助企业应对未知威胁、安全管控API,保证业务的正常高效运转。