為什么互聯網巨頭也難逃API攻擊?
責編:gltian |2020-05-12 14:29:46每一天,數億個API被各大網站、APP頻繁調用,構建出一個高度開放和效率的互聯網世界。
然而,人們習以為常的API,卻逐漸成為不法黑客進行攻擊的對象。目前,全球的API數量仍在呈爆發式增長,API安全應引起人們足夠的重視。
API攻擊帶來的大規模用戶數據泄露悲劇,已經在全球多個互聯網巨頭身上重演。
今年3月底,新浪微博因用戶查詢接口被惡意調用,導致5.38億微博用戶數據泄露,其中1.72億有賬號基本信息,被公開在網上售賣。
當月,Facebook被漏洞賞金獵人Amol Baikar曝出其OAuth框架權限繞過的API漏洞,并因此獲取賞金$55,000美元。
而這并不是Facebook第一次發現自身存在的API漏洞。2018年10月,Facebook因API漏洞,使得5000多萬個用戶信息被公開。
2019年12月,Facebook因API安全漏洞,使黑客在訪問受限的情況下也能訪問用戶的ID和電話號碼,從而導致2.67億個用戶的隱私數據被非法售賣。
眾所周知,API并不是一個新事物,經過多年的發展,其相關的技術和協議已相當成熟。然而,為什么連Facebook這種首屈一指的大玩家,都沒能幸免API安全問題?
傳統防護體系之外的API安全
從API的發展歷史看,API技術的發展加速了API的廣泛使用,而API的廣泛使用又促進API技術的發展。
在國外,繼Facebook的開放平臺獲得成功之后,微軟、google相繼推出了自己的開放平臺戰略。在國內,頭部的互聯網公司也開放了自己的API平臺,典型的有微博、百度、騰訊等。
在巨頭的推動下,API開放已成為互聯網的標配。據百度地圖公開數據顯示,截止2019年12月10日,其位置服務請求次數突破1200億次。在中國移動的物聯網開放平臺OneNET上,日均API調用超過2億次。
可以看到,如今在互聯網、移動互聯網、物聯網上,API的數量和調用次數都頗為驚人。
從企業使用API的情況看,據消費研究公司One Poll一項調查表明,企業平均管理著363個API,其中69%的公司會向公眾及其合作伙伴開放這些API。
雖然企業還在不停地增加API的使用,然而大多數企業并不清楚自己擁有多少個API,也不知道API處于什么狀態,這就給黑客帶來了更多的入侵機會。有數據表明,2014年全球網絡攻擊流量有40%來自API,而到了2018年已經飆升到83%。
綠盟科技專家在接受科技云報道采訪時表示,API安全問題頻發的主要原因,在于?API資產數量多、管理難,清點API資產容易出現遺漏。
可以說,API安全最難落地的一步恰恰是第一步,即API資產梳理。如果能徹底做好這一步,后面的安全能力建設就會順暢很多。
同時,由于API 處于傳統網絡安全防御體系的覆蓋之外,API安全問題沒有受到足夠的重視,針對API的攻擊成本也就更低。
除此之外,如果企業公開了不該暴露的API,沒有做好最小化信息反饋,認證鑒權機制不夠完善甚至缺失,均會導致嚴重的API安全隱患。
應對API攻擊需要整合安全能力
針對企業在API使用和管理上的疏漏,綠盟科技專家表示,API攻擊一般會通過以下4種方式:
- 未授權訪問
業務場景復雜、迭代升級頻繁,API權限控制較難做到萬無一失。API業務邏輯漏洞難以在測試時被發現,一旦某個接口權限控制出現問題,未授權訪問帶來的后果難以預料。
從Facebook頻發的API安全事件看,其漏洞正是在于失效的用戶身份認證。
- 參數的非法篡改
對API參數進行非法篡改和拼接,是目前API攻擊中的主流。各類試探性攻擊也通常采用此方式發起攻擊。一旦服務端參數校驗存在邏輯漏洞,API參數篡改很容易帶來數據泄露、數字資產損失甚至真實的金融風險。
- 接口濫用
國際調研機構Gartner曾指出,2022年,API濫用將成為最常見的攻擊方式之一。短信、電郵等API接口被濫用,不僅給服務提供商帶來了經濟損失,同時影響了正常用戶的業務辦理。
- DDoS攻擊
對未限流的API發起DDoS攻擊,消耗服務器資源或帶寬資源,使部分業務癱瘓,是最粗暴血腥的攻擊方式之一。
可以看?到,API攻擊利用了多種安全漏洞。
對此,派拉軟件專家指出,API安全涉及API資產管理、身份認證、API鑒權、數據安全等多種安全防護領域,包含了從DMZ區到APP區的整個過程的安全防護以及防止敏感信息泄露。
因此,業界關于API安全的解決方案,主要思路是利用API網關形態的產品,從傳輸層加密、API資產的集中全生命周期的管理、最小化授權、對應用和用戶身份進行認證等角度,整合API管理的通用能力。
另外,及時發現和阻止API的濫用、數據加密、防重放攻擊等也是廣受關注的API安全思路。
API網關產品如何解API之痛?
目前,由于API安全的市場意識還不夠,許多企業僅僅將API管理網關視為臨時解決方案。
針對API 的安全管控也沒有太多成熟的產品和方案,只有一些WAF廠商提供基本的API安全功能,如:Akamai、Imperva在WAF防護能力中提出API的安全防護,以及Kong、NGINX、WSO2這樣小而美的解決方案。
在國內,這一情況正在被專業安全廠商改善,綠盟科技、派拉軟件、瑞數信息等安全廠商相繼推出了針對API的安全解決方案,在不同的業務場景下各有側重。
綠盟科技的API安全防護方案由多款產品組成,能力涉及抗DDoS、Web應用安全防護、身份認證、訪問控制等多個維度。
這其中最核心的是SAG(綠盟API安全網關)、UIP(綠盟統一身份認證平臺)、BMG(綠盟業務安全網關)三款產品。
SAG 和 UIP可為企業提供API資產的全生命周期管理能力。通過統一代理、統一認證、精細化的流控等手段,實現API訪問控制的最小化授權。
BMG 則側重API安全防護,如在客戶端實現流量加密,不僅可有效防止參數的非法篡改,還能在一定程度保障敏感數據交互的安全。此外,全面、細粒度的日志審計能力,也是非常有必要的。
派拉軟件的方案則是以API網關為重點,并配合API管理平臺和API門戶,對API進行全生命周期的管控,是融合了微服務網關和企業級應用網關的一體化解決方案,包含WAF動態安全防護、安全認證、加解密、加驗簽、限流、API鑒權等多種安全功能。
那么,?在實際的業務場景中,這些API安全方案該如何應用呢?
以某銀行機構為例,由于該銀行未對API做統一管理,當某個敏捷項目上線時,版本快速迭代,較多API資產對外暴露,導致了一些API安全風險,如:部分API未授權訪問、未做參數校驗等。
考慮到銀行機構一般都部署了NF、WAF、ADS等安全產品,因此針對這類API安全隱患,需重點補充API資產管理、訪問控制以及安全防護能力,這是綠盟科技的API安全網關、統一身份認證平臺和業務安全網關這三款產品能夠對應提供的。
例如,綠盟API安全網關,能夠統一管理企業對外API接口,實現TLS/國密加密會話,并將API調用的最小化授權、細粒度流控、日志審計等通用安全能力整合起來,加強API安全的同時提高安全運維效率。
特別對金融機構,當發現異常接口調用時,可第一時間暫停服務調用,熔斷降級(如拒絕交易等)。
再看某城商行聯盟機構,其API門戶為聯盟下的40多家銀行和券商機構提供統一的API服務,無論是內部應用還是外部第三方的應用,API調用頻繁,且涉及多方角色、多種業務,因此針對API門戶進行API網關建設尤為重要。
對此,派拉軟件的API網關方案從身份認證、安全防護、數據安全三個方面出發,滿足企業在安全防護、安全認證、進入控制、API鑒權、合規性審查等方面的需求,從而實現API細粒度的防護。
例如:當不可控的外部調用API時,通過限流、熔斷、降權等多種策略對后端服務進行保護。
涉及API非法調用時,可采用Token、OAuth等多種API鑒權方式。當通過API進行應用登陸時,則根據不同的業務級別實施不同的身份認證方式,并進行統一的身份管理。
同時,派拉軟件專家也指出,雖然API安全防護非常重要,但也應結合行業特征來考慮安全投入與應用性之間的平衡。
在Facebook這樣的互聯網巨頭中,企業會重點關注高并發下的API服務能力,如果使用了過多的安全策略,很大程度上會導致API服務的性能和應用性不友好。
而在金融、汽車制造等行業,對交易和生產的穩定性、安全性要求更高,而并發數并不像大型互聯網企業那么高,因此這類企業會在政策監管的要求下,對API安全進行更加全面的防護。
如今,越來越多的企業在APP、H5、微信小程序等移動端發起業務,在微服務化的趨勢下,內外網的交互也越來越多。
可以預見,無論是在互聯網還是傳統行業,API安全網關將是各大企業不可或缺的安全大門,而API安全市場也將因此迎來爆發式增長。
轉載自:科技云報道
上一篇:一文詳解Webshell
下一篇:最重要的漏洞披露渠道:社交媒體