随着企业数字化转型深入,越来越多的业务从线下搬到线上,通过API进行数据交换和实现业务逻辑是企业快速创新和发展的重要方式,企业APP、Web和应用程序核心功能、云体系与微服务架构等均离不开API,API的数量和流量均与日俱增。

而现阶段很多企业在API安全建设方面相对薄弱,这就给了黑产可乘之机。相关市场研究报告数据说明,与整体 API 流量相比,API 攻击流量增长了三倍。通过利用API的安全漏洞,攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限,从而进行扫号撞库、数据窃取、营销作弊等破坏活动,严重损害企业的业务发展。

API安全建设刻不容缓。通过对一些企业关于API保护策略的调研发现,不少企业在API安全建设上存在一些错误的假设,这些误区会让企业的API容易受到攻击和威胁,随时可能引发严重的安全问题和事故。

第一类误区是认为WAF、API网关、渗透测试等策略能完全保护API

误区1:WAF会保护API

WAF在一定程度上可以防御诸如注入、跨站点脚本、CSRF、会话劫持和 Cookie 中毒等API攻击,但 API会暴露大多数WAF无法保护的许多威胁向量。有如下三个方面:

1)针对API上流动的数据安全问题,需要对API返回的内容进行分析,标准 WAF 通常不包括这些类型的功能。
2)大多数 WAF只部署了已知漏洞攻击的安全模型,缺乏针对0day攻击以及OWASP API Top10中许多业务逻辑方面的漏洞攻击(如越权攻击、未授权攻击等)的保护。
3)攻击者大多会利用大量的动态代理IP来进行低频慢速的攻击,来完成撞库、恶意注册、营销作弊、数据爬取,甚至利用API来完成短信轰炸、恶意网址跳转。目前,大多数WAF不具备这方面的检测功能。

误区2:API网关会保护API 

API网关旨在管理API的生命周期、转换协议、将API调用路由到正确的目的地以及管理配额,以确保处理API调用的服务器资源不会耗尽或滥用。另外,API网关可对API调用的实体进行身份验证,以确保该实体有权执行每个特定调用。一些API网关还具有集成的基于签名的引擎,可为它们处理的API调用提供额外的保护。虽然这些都是重要的功能,但它们不足以提供有效的API保护。

迄今为止,大多数API网关不具备Bot检测、低频慢速的攻击行为分析。面对API安全,API网关还存在三个方面的不足:

1)一旦攻击者获取 API 的认证凭证,API 网关就无法阻止使用该凭证的攻击,因为这些攻击与正常请求无法区分。
2)并非所有的 API 调用都集中通过 API 网关,譬如老旧系统常常没有经过API网关。因此,在许多组织中,有许多未记录和未托管的 API 没有得到解决,企业没办法保护看不到的影子API。
3)许多 API 攻击非常复杂,依赖于 API 后端中的编码或逻辑错误,网关根本无法抵御这些复杂的攻击。

误区3:定期的渗透测试和测试环境部署IAST工具会确保API安全

一些企业认为定期的渗透测试,甚至在测试环境已经部署了IAST类的系统就能保障API的安全,结合了IAST的自动化测试以及人工的深度渗透测试,就可以保障上线后的API没什么安全问题了。定期的渗透测试和IAST工具的自动化测试的确可以减少API设计开发方面的漏洞,但同时存在三个方面的不足

1)业务数字化,企业的API数量很庞大,人工的渗透测试往往只能覆盖部分的API。
2)敏捷研发的时代,API的研发迭代很快,自动化IAST测试不能确保每一个API都有被测试到。
3)譬如营销作弊类场景,攻击者完成一次攻击往往需要利用多个API的逻辑组合来实现,这也是自动化IAST测试很难覆盖到的。

误区4:HTTPS加密会保护API

HTTPS会对传输的流量进行加密,采用了前向加密算法的流量甚至可以避免旁路解密流量,可以防止中间人进行攻击,能保护用户数据免受窃取和篡改,但却无法防范攻击者已经建立有效连接下的API攻击。比如说,如果攻击者可以在易受攻击的HTTPS应用中访问或创建有效的用户账户,攻击者就可以随意尝试SQL注入、权限提升及其他攻击,而这一切都是在安全加密的连接中进行,流量加密传输不能解决攻击者进行的业务逻辑的攻击。

第二类误区是认为不连接互联网环境下的API是足够安全的

误区5:部署在企业内部的API是安全的

很多安全人员会认为没有连接互联网的内网应用就是安全的,不会受到基于外部的网络攻击。攻击者可以利用服务器端请求伪造(SSRF)之类的API漏洞,以某一台被攻陷的服务器为跳板,攻击企业内网上的应用。特别是在云优先环境下,许多组织不再拥有完全物理隔离的内部网络,攻击者可以通过受攻击的应用间接攻击内网上的应用。

误区6:只允许通过VPN访问的API是安全的

新冠疫情之后,远程工作模式流行起来,虚拟专用网(VPN)已变成企业普遍使用的远程访问工具。一些安全人员认为,只允许通过VPN访问的应用系统就是安全的。尽管VPN确实提供了额外的隔离和访问控制,使得应用系统就像部署在内部网络一样,但不应该将VPN视为应用系统的安全保障。如果攻击者设法通过使用被盗的凭据、泄露的员工账户或某种社会工程的方法访问了 VPN,失去VPN的凭证后,应用系统的API很容易受到攻击。

第三类误区是存在侥幸心理,认为自己的API不会被攻击,这也是最危险的

误区7:我们只是普通的企业,我们的API不会被攻击

很多企业存在侥幸心理,不管是大型企业,还是中小企业用户,普遍认为API攻击只会发生在其他企业,自己不会受到攻击。事实上,现在的网络攻击大都是由有组织的恶意团伙发起,他们每天在网络上进行自动攻击嗅探,一旦自动化程序发现了可被利用的安全漏洞,就会发起攻击。正是因为大多数网络攻击是自动化的、没有特定目标的,因此每个企业都可能成为攻击者的目标。

譬如攻击者从fofa上搜索哪些企业使用了spring boot acuator组件且是没有开启鉴权的,就利用env接口未鉴权漏洞来爬取敏感数据。所以,企业不应该存在侥幸心理,应该为防御API的恶意攻击做好充分的准备。

企业应如何做好API安全建设呢? 

随着企业逐步数字化和在线化,API呈现爆发式增长,企业的敏感数据和业务逻辑都依靠API来进行交互,保护API的安全对于确保企业的流动数据安全和业务安全就至关重要。数世咨询最新发布的API安全研究报告显示:

“在现阶段,我国企业大部分都依靠分析日志文件来识别API攻击者和事件,超过三分之二的调研用户正在使用WAF或API网关进行防护,但每个调研用户依旧都遭遇到许多API攻击。WAF和API网关缺乏建立流量或逻辑关联活动的能力,导致经历过API攻击的企业依然在承受损失,这种安全防护方法被证明是不够有效的,是不能很好满足企业安全需求的。”

永安在线基于风险情报的API安全管控平台,以API资产为中心,通过API资产和敏感数据梳理API安全缺陷检测API攻击风险感知等能力,让企业实现自动化盘点API和流动数据资产安全情况,及时感知针对业务及敏感数据的攻击风险,先于攻击者发现攻击面,为企业的业务和数据安全保驾护航。

1. 旁路流量接入,动态梳理API资产和敏感数据

通过旁路流量分析,能够以持续、动态的方式梳理API资产,包括API开放的数量、API的活跃状况、僵尸API、影子API等安全风险信息。

此外,通过流量梳理API资产的同时,会对流量中流动的敏感数据资产进行识别和提取,对敏感数据类型进行分级分类,确保企业流动数据清晰可见。

2. 根据真实攻击特征,持续检测API漏洞

在API资产和数据资产可见的基础之上,永安在线API安全管控该平台基于代理蜜罐情报持续跟踪攻击者如何利用新型API漏洞来进行攻击,通过对新型攻击面和攻击特征的分析,持续迭代优化API漏洞检测引擎,覆盖业务API的逻辑漏洞以及开源系统API的未授权漏洞。

相比IAST工具,永安在线API安全管控平台增加了API在认证、授权、数据暴露等脆弱性的检测,如未授权漏洞、越权漏洞、短信验证码泄露、关键数据未脱敏、数据伪脱敏、脱敏不规范等。

3. 基于业务风险情报,精准感知API攻击

永安在线基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报,构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险。

这一能力正好满足了当下一些基于规则特征的产品无法解决海量小号、秒拨代理IP低频攻击等API逻辑攻击问题。