如今API作為連接服務(wù)和傳輸數(shù)據(jù)的重要通道,已成為數(shù)字時代的新型基礎(chǔ)設(shè)施,但隨之而來的安全問題也日益凸顯。隨著數(shù)字化技術(shù)的發(fā)展和Web API數(shù)量的爆發(fā)性增長,API面臨的安全攻擊風(fēng)險比其他類型的攻擊更加復(fù)雜和更難防護。

(Akamai北亞區(qū)技術(shù)總監(jiān) 劉燁)

Akamai北亞區(qū)技術(shù)總監(jiān)劉燁告訴記者,API在企業(yè)中有著廣泛的應(yīng)用,比如應(yīng)用之間的通信、客戶端API調(diào)用。Akamai 3月份發(fā)布的《潛伏在陰影之中:攻擊趨勢揭示了API威脅》報告顯示,API在Web攻擊里面所占的比例越來越高,2023年在所有Web攻擊類型里面,針對API的攻擊占了將近30%。

API攻擊的新觀察

在區(qū)域分布方面,歐洲的API攻擊占比非常高,然后是北美、亞洲和拉丁美洲。而在行業(yè)方面,商務(wù)行業(yè)包括電商、金融行業(yè)、制造業(yè)等是API攻擊的“重災(zāi)區(qū)”。劉燁解釋說,因為這些行業(yè)與上下游伙伴的業(yè)務(wù)交互大多依靠API調(diào)用。

特別是金融行業(yè),根據(jù)Akamai的互聯(lián)網(wǎng)狀況報告,從2022年第二季度到2023年第二季度,亞太地區(qū)和日本的金融服務(wù)行業(yè)的Web 應(yīng)用程序和API 攻擊增加了36%,攻擊總數(shù)超過37億次。

劉燁表示,金融行業(yè)之所以是API攻擊的重點目標(biāo)行業(yè),是因為金融行業(yè)的數(shù)據(jù)非常重要,包括用戶的資金賬戶信息,還有金融行業(yè)的API交互比較復(fù)雜,存在攻擊漏洞。

此外,針對API,攻擊者大多針對HTTP協(xié)議本身的漏洞產(chǎn)生攻擊,還有Active Session、數(shù)據(jù)挖掘、本地文件包含的攻擊手段。應(yīng)該說,API的攻擊方式是非常多樣化的,企業(yè)的防護難度也在增加。

而且OWASP的API Top10安全隱患顯示,API攻擊大多與業(yè)務(wù)邏輯相關(guān),攻擊者通過找到API交互過程中的業(yè)務(wù)邏輯漏洞來發(fā)起攻擊,造成的影響也是巨大的。

“這些攻擊不是原來針對傳統(tǒng)簽名或特征識別就可以防護的攻擊,更多的是要看業(yè)務(wù)邏輯、建立自己的基線和模型。”劉燁說,“做好API安全防護,需要從可視化、評估漏洞風(fēng)險和業(yè)務(wù)邏輯三個方面著手。”

具體來說,API管理需要足夠的可視化,實現(xiàn)審計和合規(guī)性要求;API的開發(fā)需要遵循安全實踐,減少風(fēng)險點。通過安全產(chǎn)品和更合理的開發(fā),可以大大幫助解決安全隱患。

劉燁表示,許多API的問題可能源于在開發(fā)過程中留下的接口,這些接口可能僅供內(nèi)部調(diào)用或用于部門間協(xié)作。然而,當(dāng)這些接口暴露在公網(wǎng)上時,安全隱患便產(chǎn)生了。

安全問題逐漸從基礎(chǔ)層面轉(zhuǎn)向業(yè)務(wù)邏輯漏洞,針對業(yè)務(wù)邏輯的攻擊,可以繞過現(xiàn)有的安全手段,直接獲取更有價值的東西。企業(yè)需要特別關(guān)注與業(yè)務(wù)邏輯相關(guān)的API部分,建立在不同業(yè)務(wù)場景下產(chǎn)生的基線,然后確定哪些是異常情況,也就是找到API和業(yè)務(wù)邏輯的關(guān)聯(lián),哪些是違背了業(yè)務(wù)邏輯的訪問。

Akamai重塑API安全

針對API攻擊,Akamai提供了API Security產(chǎn)品,可以實現(xiàn)影子API、易受攻擊的API、API濫用等管理,形成可觀測的API基線。

劉燁表示,企業(yè)面對API攻擊,應(yīng)該進行如下工作:減少漏洞,進行API發(fā)現(xiàn),然后進行風(fēng)險審計、行為檢測、響應(yīng)、事后分析。

在減少漏洞方面,我們需要了解哪些用戶訪問了哪些內(nèi)容、訪問了哪些端點以及傳輸了什么內(nèi)容。Akamai API Security產(chǎn)品利用大量離線分析和基于API訪問日志的建模來建立基準(zhǔn)。

Akamai微分段產(chǎn)品可以防止惡意攻擊者在企業(yè)內(nèi)部橫向移動至核心系統(tǒng)。因此,結(jié)合API安全標(biāo)準(zhǔn)方法論和網(wǎng)絡(luò)微分段技術(shù),Akamai可以幫助用戶減少漏洞并降低漏洞被利用后的損失。

Akamai把所有的API數(shù)據(jù)鏡像到Data Lake,分析用戶的API訪問行為,并判斷是否存在風(fēng)險,并關(guān)聯(lián)到API防護機制阻斷這類型的攻擊。

當(dāng)用戶違反了應(yīng)用邏輯時,應(yīng)能識別出該用戶。一旦識別出問題,需要給出防護措施的指導(dǎo),如限制或中斷用戶訪問。事后分析有助于優(yōu)化整體策略,應(yīng)對可能的風(fēng)險和惡意攻擊,提高API安全防護水平,減少潛在漏洞對系統(tǒng)的滲透。

人工智能技術(shù)的流行也為API攻防帶來新的影響。在攻擊方面,人工智能可以幫助攻擊者進行數(shù)據(jù)挖掘,構(gòu)建自動化攻擊,并根據(jù)防御策略調(diào)整自身策略,從而加快試錯的速度。在防護方面,人工智能可以實現(xiàn)行為分析、異常檢測、自適應(yīng)策略等。

從安全防護方面,Akamai利用AI技術(shù)檢測API漏洞和風(fēng)險,實現(xiàn)行為分析、自動響應(yīng)和策略部署等。劉燁認為,企業(yè)建立自己的安全防護模型需要投入巨大成本,而且企業(yè)的數(shù)據(jù)量通常不足,學(xué)習(xí)樣本不足可能會影響模型的準(zhǔn)確性。

“在建立安全模型基線方面,數(shù)據(jù)量很重要,這也是Akamai作為守方具有更多優(yōu)勢的原因,因為我們可以看到更多數(shù)據(jù),更精準(zhǔn)地建立模型。企業(yè)應(yīng)該積極利用第三方資源,將AI應(yīng)用于與業(yè)務(wù)相關(guān)的領(lǐng)域。”劉燁說,“盡管人工智能在許多方面為我們做出了貢獻,但最終決策仍然可能需要專業(yè)人員的參與。因此,一個高效的安全團隊仍然至關(guān)重要,他們可以利用安全技術(shù),更好地識別問題,并制定策略和操作方法。”

面對API安全挑戰(zhàn),企業(yè)應(yīng)該采取更加積極主動的防護措施,減少漏洞并實施行為分析、響應(yīng)和事后分析。通過加強對API安全的關(guān)注和投入,企業(yè)可以更好地保護其API,守護核心數(shù)據(jù)資產(chǎn)。(來源: 至頂網(wǎng)網(wǎng)絡(luò)與安全頻道)

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）