文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

2022年API成为恶意攻击首选,企业如何保护API安全?

2024-12-02 08:24

关注

与此同时,API也正成为攻击者重点光顾的目标。据Salt Security《State of API Security Report, Q3 2021》报告显示,2021年上半年,整体API流量增长了141%,API攻击流量则增长了348%,针对API的攻击流量正在以普通API流量的3倍速度增长。报告还发现,安全问题在API项目关注的名单中名列前茅,很少有受访者认为他们有信心识别和阻止API攻击。

这是由于API的广泛使用和链接为恶意攻击者提供了广阔的攻击面,一旦成功攻击API,就能获取大量企业核心业务逻辑和敏感数据。除此之外,很多企业并不清楚自己拥有多少API,也并不能保证每个API都具有良好的访问控制,被遗忘的影子API和僵尸API,为攻击者提供了唾手可得的机会。相对于传统Web窗体,攻击API的成本更低、价值更高。

正因如此,2021年发生了很多重量级的API攻击事件,引发了社会各界的广泛关注,例如:黑客通过API漏洞入侵了7亿多Linkedln用户的数据,并在暗网上出售这些数据;黑客攻击Parler网站的API安全漏洞,非法获得1000万用户超过60TB的数据;Clubhouse因API安全漏洞泄露了130万条用户记录。

可以预见,2022年针对API的攻击将成为恶意攻击者的首选,越来越多的黑客利用API窃取敏感数据并进行业务欺诈,为API构建安全防护体系已势在必行。

新兴网络威胁下,传统API网关局限性凸显

一个严峻的事实是,API发展到现在,授权认证体系已经比较完善,但是在授权之后访问的控制相对薄弱。管控的颗粒度因API接口业务需要而不同,在带来访问便利的同时,也可能被恶意利用,带来信息泄漏和被滥用的风险。API设计之初就是为程序调用准备的,天然是工具行为,利用自动化工具通过合法授权下的API滥用,已成为API攻击的难题。从API的提供方角度,为使用和管理的方便,过度的API开放和宽泛的API调用参数返回,既可能被恶意利用,也可能无形中造成信息泄漏和被滥用的风险。因此传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制几乎无用武之地。

例如,身份认证机制可能存在单因素认证、无口令强度要求、密码明文传输等安全隐患,而访问授权机制风险通常表现为用户权限大于其实际所需权限。同时,即使建立了身份认证、访问授权、敏感数据保护等机制,有时仍无法避免攻击者以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。

在如今互联网的开放场景下,API的应用和部署面向个人、企业、组织机构等不同用户群,是外部网络攻击的主要对象之一,因此更需时刻警惕外部安全威胁。针对API的常见网络攻击包括:重放攻击、DDoS 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等,这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化。

然而,随着API访问环境的愈发开放、API数量的极速攀升,以及API本身的快速变化,早期的防护技术,如基于规则的传统WAF防护技术、API网关的身份认证和鉴权技术,已经无法满足现有对于API接口被滥用、越权访问、僵尸API、信息泄漏等安全问题的防护需求,新一代基于动态技术、Bots识别、行为分析的融合防护体系逐步兴起。

瑞数API安全管控平台 助力企业打赢API保卫战

有别于很多从API安全网关角度切入的安全厂商,瑞数信息以AI人工智能为支撑的行为分析技术作为突破口,推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender),集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能,覆盖了从资产发现到拦截处置的全链条。

具体而言,瑞数API安全管控平台(API BotDefender)包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,每个模块可以独立工作,也可以协同工作,为API接口提供完整的安全管控方案。

API资产管理

由于API数量增长太快,很多企业都不清楚自己拥有多少个API,以及API处于什么样的状态。如果没有深度的API资产梳理,安全团队根本无法了解企业API的真实资产情况,也无法预估数据暴露的风险。

因此,瑞数信息引入API资产管理,通过对访问流量进行分析,自动发现流量中的API接口,对API接口进行自动识别、梳理和分组。同时,通过从API网关上获取API注册数据,与API资产进行对比,从而发现未知API接口。  

API攻击防护

通过自动化、多样化的API网络攻击,黑客不仅可以达到消耗系统资源、中断服务的目的,还可以通过逆向工程,掌握 API 应用、部署情况,并监听未加密数据传输,窃取企业数据。

对此,瑞数信息综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻击。智能威胁检测引擎能在用户与应用程序交互的过程中收集数据,并利用统计模型来确定HTTP请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击,并对安全攻击进行实时防护。同时,对API请求参数进行合规管控,对不符合规范的请求参数实时管控。  

敏感数据管控

如果企业未对敏感信息等数据进行脱敏处理,且未加密传输,一旦流量被截获、破解,将对企业、公民个人权益造成严重影响。此外,未脱敏数据在传输至前端时,如被接收方终端缓存,也可能导致敏感数据暴露。

瑞数API安全管控平台(API BotDefender)因此会对API传输中,诸如手机号、银行卡号、身份证号等的敏感数据进行识别和过滤,并可以针对敏感数据进行脱敏或者实时拦截,规避数据安全风险。

访问行为管控模块

如今API攻击多以合法身份登录后,模拟正常操作、多源低频请求,因此企业很难察觉访问行为是否异常。

瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。

同时,为了防止非法API调用,瑞数API安全管控平台(API BotDefender)通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。  

总体而言,相较于传统API安全方案,瑞数API安全管控平台(API BotDefender)着重强调API安全防护能力的提升,以行为分析为基础实现从API接入客户端到API服务器端的全程式API安全威胁防护,其优势也十分明显:

API全自动发现

瑞数API安全管控平台(API BotDefender)的“Discover发现模块”,可以快速自动地发现API,并且针对发现的API给出明确的认定;同时,显示出清晰的API列表,对API接口的访问情况一目了然。  

构建API画像

瑞数API安全管控平台 (API BotDefender),采用全程式安全威胁防护技术,从而利于精准地构建API画像;通过API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等。  

API全渠道感知

提供各种SDK,方便与各类API来源应用进行集成,可以对来源环境和用户行为进行感知。  

动态响应防护

可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。 

此外,瑞数API安全管控平台 (API BotDefender)的部署方式非常灵活,支持软件、硬件和云的方式进行部署,可以大大降低部署、管理和维护成本。同时,占用资源少,不影响服务器的正常运行,可以实现应用无感知部署。

目前,瑞数信息凭借其突出的技术实力和防护能力,其产品在金融、政府、运营商三大行业得到了成功应用,“瑞数API安全管控解决方案”更荣获“2021金融业新技术应用创新突出贡献奖”,表明了行业客户对瑞数技术创新能力和优异应用效果的充分认可。在API安全日益重要的今天,如瑞数API BotDefender这类具备先进防护策略和创新技术的API安全产品,可以更好地帮助企业应对未知威胁、安全管控API,保证业务的正常高效运转。

来源:51CTO内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯