2023年07月27日
在數字化時代,幾乎所有的企業都需要依賴大量API進行服務連接、數據傳輸和系統控制,在此背景下,確保各類API的安全應用也變得越來越重要。然而,有很多企業還沒有對API應用存在的安全威脅給予足夠重視,這也導致了API安全狀況與企業的實際需要之間存在了很大差距。
API安全挑戰
當前,企業在API應用中面臨的安全挑戰主要包括以下方面:
01、擴大企業攻擊面
隨著云計算技術的廣泛應用,越來越多的Saas化業務系統和服務被遷移上云,在為更多用戶提供服務的同時,也將大量API暴露到云中,相對于傳統數據中心的單點式調用,云上的東西向和南北向訪問都可能成為威脅API安全的攻擊面。
02、忽視API安全能力構建
敏捷開發模式是當今主流開發模式,敏捷開發強調個體和互動、工作的軟件、客戶合作、響應變化,雖然提升了創新速度和靈活性,但是對于如何構建API安全性卻缺少合適的方法,導致在軟件構建過程中難以顧及API安全。
03、API蔓延
API是由程序員編寫,因此除了API應用的開發者,很少有人會意識到這些API的存在,這使得大量的API缺少維護,并經常容易被忽略。當組織缺乏適當的API可見性、治理機制和生命周期策略時,僵尸、影子和幽靈等可怕的API威脅就會出現,并給企業業務開展造成損害。
04、低估API安全風險
一些企業會假設軟件系統都應該按照設計中的流程運行,從而導致API被攻擊的可能性以及其后果被嚴重低估,因此未采取充分的防護措施。此外,第三方合作伙伴系統的API,也容易被組織所忽視。
傳統安全工具的不足
由于API在設計架構上的特殊性,它們無法通過傳統的應用安全工具進行有效的保護,比如API應用網關、日志分析和WAF等。據最新的API安全研究數據顯示,77%的受訪者表示,傳統的安全工具難以滿足其API安全防護需求,主要原因包括:
01、缺乏API特有的功能
傳統安全工具主要是為保護傳統業務應用程序和網絡基礎設施而設計的,缺乏解決API特有漏洞所需的具體功能,比如無效的對象級授權(BOLA)、輸入驗證不充分或訪問速率限制不足。
02、復雜的API生態
現代應用程序常常包含來自不同提供商的大量API。這種生態的復雜性使得傳統安全工具難以全面準確地監控API流量和檢測可疑活動。
03、可見性有限
傳統安全工具無法提供檢測特定API攻擊(比如撞庫攻擊和蠻力破解)所需的可見性,因為這類攻擊往往會發生在多個API之間,需要實現細粒度的API級可見性。
04、身份驗證不到位
很多企業中存在大量歷史遺留應用程序,因此,使用API而不進行身份驗證是目前很常見的現象。這些未經身份驗證的API一旦公開暴露,就會對企業的應用系統安全構成威脅。API需要提供比傳統安全工具更高級的身份驗證和授權機制,比如基于令牌的驗證和授權。
05、動態變化的環境
API是在高度動態變化的環境中運行,需要不斷部署新的API,并經常更新現有的API。傳統安全工具難以跟上快速的變化,從而導致在API安全控制方面出現缺口,可能被人利用。
新一代API防護技術
保障API應用安全并不僅僅是修復幾個安全漏洞的問題,它需要安全團隊的全面關注,并從更廣泛的角度解決API應用安全缺口。日前,F5公司安全與反欺詐架構師Joshua Goldfarb 總結了新一代API安全防護技術應該具備的10種能力,以幫助企業在選型API防護方案時提供參考。
01、API資產發現和可見性
在確保API安全之前,需要先識別它并了解它。出于種種原因,一些API會在企業IT或安全團隊不知情的情況下創建并使用,這些API并未納入到資產管理對象中,也不受安全和合規策略及控制措施的制約。因此,API可見性和發現性是確保API安全的第一步,也是新一代API安全技術必須要具備的功能。
02、輸出模式驗證
試圖通過使用無效或不當的輸入來誘導API錯誤輸出是攻擊者經常采用的一種技術。因此,確保API行為的有效性和正確性是實現整體API安全方法的重要部分。要求所有API請求和響應遵守模式和所有規范是保護這些API免受攻擊和破壞的重要步驟。這將對實現API安全應用有很大幫助。
03、安全策略執行
企業都會制定相應的API安全策略,但如果沒有嚴格執行,這些策略將變得沒有意義。保證企業的API安全策略(速率限制、IP信譽和允許/拒絕列表等)能夠得到有效的執行,是對新一代API安全技術的最基本要求之一。
04、保護敏感數據
API的主要安全漏洞之一就是泄露敏感數據。因此,保護敏感數據應該是任何API安全解決方案的一部分。要保護敏感數據安全,需要確保API被正確設計和保護,還需要驗證敏感數據沒有在不恰當地傳輸或泄露。
05、濫用和DoS防護
當人們想到防范服務濫用或拒絕服務(DoS)攻擊時,首先會想到OSI模型的第3層和第4層,而API所在的應用層(第7層)卻經常會被遺忘。攻擊者們也注意到了這點,隨時準備針對應用層的攻擊,因而新一代API技術防范濫用和DoS功能的能力必不可少。
06、全面地攻擊防護
攻擊者在不斷尋找破壞和惡意利用API的方法。新一代API安全解決方案將包括基于特征、基于異常和基于AI的攻擊保護機制,以防范各種各樣的新型攻擊。
07、訪問控制
不適當的訪問控制(包括身份驗證和授權)一直都是困擾API安全應用的主要問題之一。無論是由于疏忽、人為錯誤、主觀惡意還是其他任何原因,對API的訪問控制不當都意味著災難性后果。新一代API安全解決方案必須要能夠提供身份威脅發現服務、身份驗證服務和API訪問控制服務。
08、惡意用戶檢測
通過機器學習可以分析出與API交互的客戶端行為是否存在異常,這有助于在安全攻擊實際發生前做好預防。作為整體API安全解決方案的一部分,檢測和阻止惡意用戶有助于更好保護API免受攻擊、破壞和泄密。
09、安全配置和管理
API的配置和管理不當導致了大量的安全威脅。因此,新一代API安全解決方案需要支持企業輕松部署和實施正確的安全模型,這有助于確保API不會被錯誤配置,避免人為API安全漏洞的產生。
10、行為分析
API訪問行為分析應該是新一代API安全產品必備的安全能力。通過研究從應用程序的端點和API收集而來的各種日志,就能總結出各類API應用請求路徑的行為,并生成一組行為安全性參照指標,比如請求大小、響應大小、數據延遲、請求率、錯誤率以及響應吞吐量。這是一個迭代過程,會隨時間的推移而持續更新,并不斷優化。