企業API安全防護,該從何處入手?
責編:gltian |2024-04-29 18:01:15近日,Akamai 發布的互聯網現狀(SOTI) 報告——《潛伏在陰影之中:攻擊趨勢揭示了 API 威脅》重點指出,在 2023 年 1 月至 12 月期間,針對 API 的攻擊非常多,其中 全球有高達 29% 的 Web 攻擊都是針對 API 發起的。在所有行業中,金融和商業服務的 API 攻擊風險最為嚴峻并已成為重災區,占所有 Web 攻擊的比例將近三分之一 (31.2%),同時媒體和高科技制造行業的風險也不容忽視。由于 API 能夠使軟件、系統和設備之間進行通信并有助于提升員工和客戶的體驗,因此對于大多數企業而言 API 都至關重要。企業越來越依賴 API,但同時也面臨有效保護 API 方面的挑戰,因為企業在快速開發與部署 API 等新技術時往往難以兼顧安全方面的因素。Akamai 預測,隨著 API 使用量的增加,針對 API 的攻擊將急劇增加。因此,Akamai 強烈建議各企業優先考慮和保護其 API安全,以防范潛在的攻擊風險。
為什么現在針對API的攻擊,企業防御存在一定難度?是因為這些攻擊不是靠簽名就可以防護的針對傳統注入類型的攻擊,而是通過找到API交互過程中的這些業務邏輯漏洞來發起攻擊。在OWASP 2023年發布的API Top10的安全風險中,新加入的都是與業務邏輯有非常多關聯的風險。由于現有的防護手段并不完善,基本防護工作的不足導致安全問題逐漸從基礎層面轉向業務邏輯漏洞,這種變化使得攻擊者的攻擊效率更高。
API濫用已經成為一個嚴重問題,因為在缺乏 API 行為基線的情況下,識別異常的 API 活動變得尤為困難。企業若缺乏解決方案來監視 和識別API 活動中的異常情況,將面臨運行時被攻擊的風險。例如,數據抓取作為一種新興的數據泄露媒介,可利用經身份驗證的 API 從企業內部緩慢竊取數據。企業需要建立自己的基線和模型。
企業做API防護,應該從哪些地方著手,關注點應該是什么?? Akamai北亞區技術總監劉燁建議從三個方面入手。
Akamai北亞區技術總監? 劉燁
1.可視性。企業必須確保其使用的 API 得到妥善發現與記錄,并全面監控其用途與潛在風險;
2.漏洞。盡可能減少上線應用的潛在漏洞。在企業開發的過程中,要遵循最佳實踐,減少風險點;
3.業務邏輯。用戶有沒有對業務邏輯的基線?攻擊是變化多樣的,它不僅針對應用本身,而且針對業務邏輯。針對業務邏輯的攻擊可能獲取更據價值的收入。
劉燁表示,Akamai API Security可以通過做行為分析,發現業務邏輯中可能存在的漏洞。API Security可以幫助用戶觀察以下這幾種結果:
- 影子API發現:Akamai能夠全面識別并列出所有可調用的API接口,確保用戶對API的可見性。
- 易受攻擊API識別:當API存在漏洞或風險點時,Akamai的解決方案能夠迅速識別并發出警示,促使用戶及時采取行動。
- API濫用檢測與預防:通過監控API的基線行為,Akamai能夠發現未經授權的訪問、異常調用等濫用行為,并及時通知用戶進行干預。
企業需要根據業務場景建立自己的模型和基線,然后判斷是否存在針對特定業務場景的攻擊。具體可以分為兩部分:首先是針對傳統注入類型攻擊的簽名防護,這與API開發技術密切相關。通過安全產品和更合理的開發,可以大大幫助企業解決安全隱患;在業務邏輯方面,需要建立在不同業務場景下產生的基線,然后確定哪些是異常情況。
在Akamai的整個體系里面,把防護內容分為幾個方面,包括:保護員工、保護應用、保護基礎架構,保護應用負責和保護API,這些可以幫助用戶去解決API所帶來的風險和問題。
企業API安全的防護難點在哪里?Akamai提供了如下的解決API風險的思路和建議。劉燁表示:對于“難點”來講,首先是如何確定一個請求是否構成攻擊,尤其當從技術上看起來符合合規、協議標準和訪問權限時,如何建立基線以及將其與業務邏輯關聯是防護的難點。針對這個問題,劉燁建議企業從以下六個步驟來實施防護:記錄所有訪問日志、進行API發現、實施審計、識別風險點、進行行為檢測、快速響應以及事后調查和分析。
當前的數字化環境中,企業API安全防護顯得尤為重要。然而,隨著技術的不斷進步,我們也看到了更新的解決方案和建議。希望未來有更多像Akamai一樣的行業領先者,通過創新的產品解決方案,幫助企業有效地應對API安全的挑戰,并確保其數字資產和業務運營的安全,并在數字化時代取得更大的成功。