隨著云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的蓬勃發(fā)展,越來越多的應(yīng)用開發(fā)深度依賴于API之間的相互調(diào)用。特別是疫情常態(tài)化后,協(xié)同辦公、在線教育、直播短視頻等線上應(yīng)用蓬勃發(fā)展,API在其中既能夠起到連接服務(wù)的功能,又可以用來傳輸數(shù)據(jù),隨著API的絕對數(shù)量持續(xù)增長,通過API傳遞的數(shù)據(jù)量也飛速增長。據(jù)瑞數(shù)信息《2021 Bots自動化威脅報(bào)告》顯示,作為一種輕量化的技術(shù),API在全球范圍內(nèi)受到企業(yè)組織的高度青睞,應(yīng)用接口呈現(xiàn)爆發(fā)式增長。相比2019年,2020年API流量同比增長2.8倍,44%的企業(yè)正在建造和維護(hù)100個或更多的API。
與此同時,API也正成為攻擊者重點(diǎn)光顧的目標(biāo)。據(jù)Salt Security《State of API Security Report, Q3 2021》報(bào)告顯示,2021年上半年,整體API流量增長了141%,API攻擊流量則增長了348%,針對API的攻擊流量正在以普通API流量的3倍速度增長。報(bào)告還發(fā)現(xiàn),安全問題在API項(xiàng)目關(guān)注的名單中名列前茅,很少有受訪者認(rèn)為他們有信心識別和阻止API攻擊。
這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面,一旦成功攻擊API,就能獲取大量企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)。除此之外,很多企業(yè)并不清楚自己擁有多少API,也并不能保證每個API都具有良好的訪問控制,被遺忘的影子API和僵尸API,為攻擊者提供了唾手可得的機(jī)會。相對于傳統(tǒng)Web窗體,攻擊API的成本更低、價值更高。
正因如此,2021年發(fā)生了很多重量級的API攻擊事件,引發(fā)了社會各界的廣泛關(guān)注,例如:黑客通過API漏洞入侵了7億多Linkedln用戶的數(shù)據(jù),并在暗網(wǎng)上出售這些數(shù)據(jù);黑客攻擊Parler網(wǎng)站的API安全漏洞,非法獲得1000萬用戶超過60TB的數(shù)據(jù);Clubhouse因API安全漏洞泄露了130萬條用戶記錄。
可以預(yù)見,2022年針對API的攻擊將成為惡意攻擊者的首選,越來越多的黑客利用API竊取敏感數(shù)據(jù)并進(jìn)行業(yè)務(wù)欺詐,為API構(gòu)建安全防護(hù)體系已勢在必行。
新興網(wǎng)絡(luò)威脅下,傳統(tǒng)API網(wǎng)關(guān)局限性凸顯
一個嚴(yán)峻的事實(shí)是,API發(fā)展到現(xiàn)在,授權(quán)認(rèn)證體系已經(jīng)比較完善,但是在授權(quán)之后訪問的控制相對薄弱。管控的顆粒度因API接口業(yè)務(wù)需要而不同,在帶來訪問便利的同時,也可能被惡意利用,帶來信息泄漏和被濫用的風(fēng)險。API設(shè)計(jì)之初就是為程序調(diào)用準(zhǔn)備的,天然是工具行為,利用自動化工具通過合法授權(quán)下的API濫用,已成為API攻擊的難題。從API的提供方角度,為使用和管理的方便,過度的API開放和寬泛的API調(diào)用參數(shù)返回,既可能被惡意利用,也可能無形中造成信息泄漏和被濫用的風(fēng)險。因此傳統(tǒng)API安全網(wǎng)關(guān)提供的身份認(rèn)證、權(quán)限管控、速率限制、請求內(nèi)容校驗(yàn)等安全機(jī)制幾乎無用武之地。
例如,身份認(rèn)證機(jī)制可能存在單因素認(rèn)證、無口令強(qiáng)度要求、密碼明文傳輸?shù)劝踩[患,而訪問授權(quán)機(jī)制風(fēng)險通常表現(xiàn)為用戶權(quán)限大于其實(shí)際所需權(quán)限。同時,即使建立了身份認(rèn)證、訪問授權(quán)、敏感數(shù)據(jù)保護(hù)等機(jī)制,有時仍無法避免攻擊者以機(jī)器模擬正常用戶行為、運(yùn)用大量代理IP進(jìn)行大規(guī)模攻擊等多種方式來避免速率限制。
在如今互聯(lián)網(wǎng)的開放場景下,API的應(yīng)用和部署面向個人、企業(yè)、組織機(jī)構(gòu)等不同用戶群,是外部網(wǎng)絡(luò)攻擊的主要對象之一,因此更需時刻警惕外部安全威脅。針對API的常見網(wǎng)絡(luò)攻擊包括:重放攻擊、DDoS 攻擊、注入攻擊、會話 cookie 篡改、中間人攻擊、內(nèi)容篡改、參數(shù)篡改等,這些新型的安全威脅正在變得更加復(fù)雜化、多樣化、隱蔽化、自動化。
然而,隨著API訪問環(huán)境的愈發(fā)開放、API數(shù)量的極速攀升,以及API本身的快速變化,早期的防護(hù)技術(shù),如基于規(guī)則的傳統(tǒng)WAF防護(hù)技術(shù)、API網(wǎng)關(guān)的身份認(rèn)證和鑒權(quán)技術(shù),已經(jīng)無法滿足現(xiàn)有對于API接口被濫用、越權(quán)訪問、僵尸API、信息泄漏等安全問題的防護(hù)需求,新一代基于動態(tài)技術(shù)、Bots識別、行為分析的融合防護(hù)體系逐步興起。
瑞數(shù)API安全管控平臺 助力企業(yè)打贏API保衛(wèi)戰(zhàn)
有別于很多從API安全網(wǎng)關(guān)角度切入的安全廠商,瑞數(shù)信息以AI人工智能為支撐的行為分析技術(shù)作為突破口,推出一種新興API融合防護(hù)方案——瑞數(shù)API安全管控平臺(API BotDefender),集成了API資產(chǎn)發(fā)現(xiàn)、攻擊檢測、參數(shù)合規(guī)檢測、行為檢測、敏感數(shù)據(jù)識別、異常行為攔截處置等功能,覆蓋了從資產(chǎn)發(fā)現(xiàn)到攔截處置的全鏈條。
具體而言,瑞數(shù)API安全管控平臺(API BotDefender)包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控四大模塊,每個模塊可以獨(dú)立工作,也可以協(xié)同工作,為API接口提供完整的安全管控方案。
API資產(chǎn)管理
由于API數(shù)量增長太快,很多企業(yè)都不清楚自己擁有多少個API,以及API處于什么樣的狀態(tài)。如果沒有深度的API資產(chǎn)梳理,安全團(tuán)隊(duì)根本無法了解企業(yè)API的真實(shí)資產(chǎn)情況,也無法預(yù)估數(shù)據(jù)暴露的風(fēng)險。
因此,瑞數(shù)信息引入API資產(chǎn)管理,通過對訪問流量進(jìn)行分析,自動發(fā)現(xiàn)流量中的API接口,對API接口進(jìn)行自動識別、梳理和分組。同時,通過從API網(wǎng)關(guān)上獲取API注冊數(shù)據(jù),與API資產(chǎn)進(jìn)行對比,從而發(fā)現(xiàn)未知API接口。
API攻擊防護(hù)
通過自動化、多樣化的API網(wǎng)絡(luò)攻擊,黑客不僅可以達(dá)到消耗系統(tǒng)資源、中斷服務(wù)的目的,還可以通過逆向工程,掌握 API 應(yīng)用、部署情況,并監(jiān)聽未加密數(shù)據(jù)傳輸,竊取企業(yè)數(shù)據(jù)。
對此,瑞數(shù)信息綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎,持續(xù)監(jiān)控并分析流量行為,有效檢測威脅攻擊。智能威脅檢測引擎能在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù),并利用統(tǒng)計(jì)模型來確定HTTP請求的異常。一旦確定異常情況,智能引擎就會使用機(jī)器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊,并對安全攻擊進(jìn)行實(shí)時防護(hù)。同時,對API請求參數(shù)進(jìn)行合規(guī)管控,對不符合規(guī)范的請求參數(shù)實(shí)時管控。
敏感數(shù)據(jù)管控
如果企業(yè)未對敏感信息等數(shù)據(jù)進(jìn)行脫敏處理,且未加密傳輸,一旦流量被截獲、破解,將對企業(yè)、公民個人權(quán)益造成嚴(yán)重影響。此外,未脫敏數(shù)據(jù)在傳輸至前端時,如被接收方終端緩存,也可能導(dǎo)致敏感數(shù)據(jù)暴露。
瑞數(shù)API安全管控平臺(API BotDefender)因此會對API傳輸中,諸如手機(jī)號、銀行卡號、身份證號等的敏感數(shù)據(jù)進(jìn)行識別和過濾,并可以針對敏感數(shù)據(jù)進(jìn)行脫敏或者實(shí)時攔截,規(guī)避數(shù)據(jù)安全風(fēng)險。
訪問行為管控模塊
如今API攻擊多以合法身份登錄后,模擬正常操作、多源低頻請求,因此企業(yè)很難察覺訪問行為是否異常。
瑞數(shù)API安全管控平臺(API BotDefender)通過建立多維度訪問基線和API威脅建模,對API接口的訪問行為進(jìn)行監(jiān)控和分析。一方面,監(jiān)控基線偏離狀況,針對高頻情況等進(jìn)行防護(hù),防止高頻情況等造成的API性能瓶頸;另一方面,高效識別異常訪問行為,避免惡意訪問造成的業(yè)務(wù)損失。
同時,為了防止非法API調(diào)用,瑞數(shù)API安全管控平臺(API BotDefender)通過從API網(wǎng)關(guān)上獲取API認(rèn)證和鑒權(quán)數(shù)據(jù),防止未授權(quán)的API調(diào)用,保障API接口只能被合法用戶訪問。
總體而言,相較于傳統(tǒng)API安全方案,瑞數(shù)API安全管控平臺(API BotDefender)著重強(qiáng)調(diào)API安全防護(hù)能力的提升,以行為分析為基礎(chǔ)實(shí)現(xiàn)從API接入客戶端到API服務(wù)器端的全程式API安全威脅防護(hù),其優(yōu)勢也十分明顯:
PI全自動發(fā)現(xiàn)
瑞數(shù)API安全管控平臺(API BotDefender)的“Discover發(fā)現(xiàn)模塊”,可以快速自動地發(fā)現(xiàn)API,并且針對發(fā)現(xiàn)的API給出明確的認(rèn)定;同時,顯示出清晰的API列表,對API接口的訪問情況一目了然。
構(gòu)建API畫像
瑞數(shù)API安全管控平臺 (API BotDefender),采用全程式安全威脅防護(hù)技術(shù),從而利于精準(zhǔn)地構(gòu)建API畫像;通過API畫像,可以快速預(yù)覽各個業(yè)務(wù)的API情況,包括使用情況、異常情況、訪問來源等。
API全渠道感知
提供各種SDK,方便與各類API來源應(yīng)用進(jìn)行集成,可以對來源環(huán)境和用戶行為進(jìn)行感知。
動態(tài)響應(yīng)防護(hù)
可根據(jù)行為分析的結(jié)果或指定條件,進(jìn)行動態(tài)響應(yīng)防護(hù),提升通過逆向探測或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。
此外,瑞數(shù)API安全管控平臺 (API BotDefender)的部署方式非常靈活,支持軟件、硬件和云的方式進(jìn)行部署,可以大大降低部署、管理和維護(hù)成本。同時,占用資源少,不影響服務(wù)器的正常運(yùn)行,可以實(shí)現(xiàn)應(yīng)用無感知部署。
目前,瑞數(shù)信息憑借其突出的技術(shù)實(shí)力和防護(hù)能力,其產(chǎn)品在金融、政府、運(yùn)營商三大行業(yè)得到了成功應(yīng)用,“瑞數(shù)API安全管控解決方案”更榮獲“2021金融業(yè)新技術(shù)應(yīng)用創(chuàng)新突出貢獻(xiàn)獎”,表明了行業(yè)客戶對瑞數(shù)技術(shù)創(chuàng)新能力和優(yōu)異應(yīng)用效果的充分認(rèn)可。在API安全日益重要的今天,如瑞數(shù)API BotDefender這類具備先進(jìn)防護(hù)策略和創(chuàng)新技術(shù)的API安全產(chǎn)品,可以更好地幫助企業(yè)應(yīng)對未知威脅、安全管控API,保證業(yè)務(wù)的正常高效運(yùn)轉(zhuǎn)。
文字轉(zhuǎn)載自金融界