約66%的公司企業表示,由于API安全問題,已延緩在生產環境中部署應用。
近幾個月來,研究人員第二次警示不安全應用編程接口(API)對企業安全造成的威脅。
去年11月,咨詢公司佛瑞斯特研究就警告稱,公司企業未能像對付應用程序漏洞一樣處理API漏洞,并因此造成自身越來越暴露在API相關安全漏洞的威脅之下。
今年3月初,安全公司Salt Security發布API安全報告,報告綜合了該公司針對200名IT及安全人員的調查反饋和來自該公司客戶的實證數據。
結果顯示,91%的受訪公司企業去年經歷過API相關問題。超過半數(54%)的受訪企業在其API中發現了漏洞,46%的受訪企業出現了身份驗證問題,而20%指出了爬蟲和數據抓取工具引發的問題。
Salt Security副總裁Michelle McLean稱:“2020年最普遍的API安全事件就是在生產環境API中發現漏洞。”
調查結果顯示,盡管公司企業開始應用安全左移原則,盡量在開發生命周期早期階段就集成安全控制措施,但這項工作仍未做到位。
“公司企業需補強在構建和部署運行時安全的過程中所用的安全戰術。”
普遍程度僅次于生產環境API漏洞的安全事件主要圍繞身份驗證問題,攻擊者能夠以某種方式玩弄身份驗證機制,獲取敏感數據。其他常見問題還包括賬戶濫用和拒絕服務攻擊,也就是攻擊者發起足量受控API流量中斷API背后應用的正常運行。
McLean指出:“API是公司企業的一大風險來源。攻擊者目前正大肆利用API,而現有策略和技術并不足以提供充分的保護。”
應用和應用組件能夠借助API在內部網絡上相互通信,且照目前趨勢看來,應用和應用組件之間的通信將更多依賴API在互聯網上進行。最初,API一般用在安全私有網絡和信道上。如今,越來越多的公司企業利用API將內部應用和原有系統及服務通過互聯網共享給客戶、合作伙伴、供應商和其他第三方。公司企業用于內部應用互聯和連接外部世界的API可能多達成百上千個。安全分析師曾經指出,如果防護不周,API相當于為外部人員訪問公司關鍵數據和應用提供了直接通道。
攻擊者最常用的API漏洞利用手法,是篡改用戶身份標識(ID)號等API可能有權訪問的對象。
McLean舉例稱:“攻擊者通過身份驗證登錄應用,用他們自己的ID發起通信,然后在一系列后續API調用中將此用戶ID對象改成另一個用戶ID。然后他們就能訪問與此另一ID相關聯的敏感信息了。”
? API安全陰霾籠罩
Salt Security的調查發現,由于API安全相關的顧慮,三分之二的公司企業放緩了往生產環境推出新應用的腳步。該公司的客戶數據顯示,從去年6月到12月,每月每客戶遭遇的API攻擊數量從50次驟增到80次。另外,Salt Security客戶的月度平均API調用規模增長51%的同時,惡意流量卻暴增了211%。
McLean表示,攻擊者利用這些惡意API流量來染指API連接的數據,或者中斷API賦能的服務。舉個例子,攻擊者會在API調用期間修改賬戶號,或者操縱API調用插入成百上千個可能的憑證,以期匹配幾個已有真實憑證。
Salt Security的調查還反映出,即使趨勢明顯,很多公司企業對待此類問題的態度還是相對無動于衷:超過四分之一(27%)的受訪企業承認根本沒有應對API安全問題的策略,54%的受訪企業認為自己的策略最多達到基礎水平。83%的受訪企業坦陳不了解自身API使用情況,82%不確定自己是否清楚那些暴露PII、持卡人信息和其他敏感信息的API。
超過20%的受訪企業承認無法了解到底哪些API暴露了個人可識別信息,還有很多企業表示自身最大的顧慮是網絡上普遍存在過時僵尸API。
McLean認為,解決這些問題需要一套完備的API安全策略。這意味著建立起保護整個API生命周期的機制。公司企業需設置在構建階段、部署階段和生產環境運行階段驗證API的控制措施。
此外,還應考慮培育API編寫團隊和API所連數據與服務的安全防護團隊之間的協作。
“開發人員不具備安全團隊那種‘攻擊者思維’,而安全團隊并不天天編程,不像開發人員那么熟悉API結構。”
只有確保兩個團隊相互協作,才能充分保護好企業API。
Salt Security調查報告:https://salt.security/api-security-trends
來源:數世咨詢