API安全性:不能只是下一代WAF上的附加組件
責編:gltian |2023-02-16 17:22:13WAAP(Web應用和API保護平臺)是帶著“下一代WAF”光環出道的,旨在超越傳統WAF基于簽名的攻擊防護方式,并為用戶提供額外的API保護功能。從本質上看,WAAP是一種更高級的WAF方案。那么,如果企業使用了WAAP方案,是否還需要部署專用的API安全性產品?在WAAP方案中所融合的API防護能力,可以實現企業所需要的整體API安全防護策略嗎?
目前,WAAP方案所覆蓋的API安全能力主要包括了API文檔支持、模式分析和驗證以及API資產發現,這對于保護API應用免受一系列預先設置的攻擊(包括SQL注入、代碼執行和DDoS攻擊)至關重要。但是需要指出的是,目前的WAAP方案只能解決API安全威脅中的一部分,因為每個API應用都有自己的底層業務邏輯和功能。為了防止API被濫用,企業需要充分了解其應用流量的變化,而這并不是WAF或其進化產物WAAP所能夠實現的。
因此,隨著現代企業組織API應用的激增,基于WAF或WAAP的防御措施不足以應對如今更復雜和多樣化的API攻擊威脅。WAAP是在傳統WAF方案上的發展演進,添加一些特定的API保護功能。但如果企業組織想要對所有的API安全威脅都有可見性,那僅靠WAAP方案的API防護能力是遠遠不夠的。
API攻擊的方式與傳統的應用程序攻擊有很大不同。隨著企業組織數字化轉型的深入發展,其業務系統上的API應用數量也在不斷激增,改變和擴大了組織的攻擊面。由于每個API應用都有自己獨特的業務邏輯,所以每次API攻擊都是唯一性的,攻擊者會做大量的探測來發現可以利用的API漏洞。這種偵察活動可能需要幾天、幾周甚至幾個月的執行時間。如果不借助適當的上下文信息檢測,攻擊者可以很輕松地在整個攻擊生命周期中隱藏或偽裝他們的攻擊行為。
就API安全防護而言,組織需要深入和廣泛的上下文分析來發現潛在的威脅,僅僅依靠WAAP來提供運行時保護會使API應用存在幾個關鍵的安全隱患。具體來說,WAAP通常缺乏上下文和智能驅動的能力,因此難以實現以下防護能力:
01
WAAP無法監控較長時間的API攻擊
API攻擊的生命周期一般很長,因為攻擊者需要不斷地探測API,以發現可被利用的漏洞。由于WAAP方案缺乏對長期業務活動的可見性,因此它們無法發現惡意行為者為攻擊API所進行的持續性偵察活動。為了保護API及其所傳輸的敏感數據,企業不能只是在攻擊危害產生后才開始被動應對。即使沒有API攻擊的所有細節,但企業通過分析適當的API應用上下文,也應該更早地識別出攻擊。
02
WAAP無法識別API的行為異常
除了隨時間建立的可見性,API安全解決方案還必須能夠精確識別與API攻擊活動相關的異常行為,包括擴展偵察活動、API濫用以及業務邏輯操縱攻擊。許多API應用都在假設存在業務邏輯缺陷和濫用可能性的情況下運行。這是因為企業知道,在開發和測試周期中識別和清除所有的業務邏輯缺陷和漏洞是非常困難的。因此,準確識別行為異常和用戶意圖的能力是API安全策略中最關鍵的部分。API攻擊是基于一系列活動的行為攻擊,高級API安全解決方案可以判斷生態系統中什么代表“正常”行為,什么代表可能潛在威脅的“異常”行為。而WAAP方案更善于尋找已知的攻擊模式,由于缺乏行為上下文,WAAP無法可靠地區分“普通”和“異常”的API行為,從而觸發危險信號。
03
WAAP缺乏主動學習能力
基于人工智能的安全解決方案,最大特點就是可以從各種遇到的安全問題中主動“學習”。在安全系統中使用這種學習能力可以更準確地檢測并驅動更有效的響應措施。利用云級(cloud-scale)大數據的力量,在一個客戶的環境中學習不僅可以豐富算法,反過來也可以使其他客戶受益,因為學習來帶的能力提升是以指數級方式增長的。但很可惜,目前的WAAP方案仍然缺乏這種主動學習的能力。
04
WAAP不能辨別用戶的意圖
云級、成熟的AI和ML模型可以分析大量的數據和流量,在大量的結構和行為屬性中搜索簽名和模式。但這并非WAAP所能做的事情。由于API經常被濫用,即便人們完全按照設計使用它們。如果攻擊者出于惡意目的竊取并使用合法訪問憑證針對特權API,WAAP通常無法發現攻擊者未經授權的訪問及其偽裝攻擊。如果沒有用戶行為的上下文,這些訪問行為對于WAAP的檢測機制來說都是合法的。因為WAAP不能在應用程序堆棧的不同應用層之間提供完整可見性,所以它們不能信息關聯發現潛在的威脅。
結語
不可否認,WAAP比WAF更先進,也可以在企業完整的API安全防護體系中發揮著重要作用,但它并不能全面解決API安全問題。WAAP方案很難具備深度和廣度的可見性,以及智能并隨時間變化的上下文分析能力,來防御不斷演變的API攻擊。僅僅依靠WAAP來保護API安全將會留下大量的安全盲點,將組織置于危險之中。為了全面保護企業的API生態系統,除了應用WAAP之外,組織還需要適當的API安全運行時保護措施。
參考鏈接:
https://salt.security/blog/critical-api-security-gaps-in-waaps?