如今 API 作为连接服务和传输数据的重要通道, 已成为数字时代的新型基础设施, 但随之而来的安全问题也日益凸显。随着数字化技术的发展和 Web API 数量的爆发性增长,API 面临的安全攻击风险比其他类型的攻击更加复杂和更难防护。
(Akamai 北亚区技术总监 刘烨)
Akamai 北亚区技术总监刘烨告诉记者,API 在企业中有着广泛的应用, 比如应用之间的通信、客户端 API 调用。Akamai 3 月份发布的《潜伏在阴影之中:攻击趋势揭示了 API 威胁》报告显示,API 在 Web 攻击里面所占的比例越来越高,2023 年在所有 Web 攻击类型里面, 针对 API 的攻击占了将近 30%。
API 攻击的新观察
在区域分布方面, 欧洲的 API 攻击占比非常高, 然后是北美、亚洲和拉丁美洲。而在行业方面, 商务行业包括电商、金融行业、制造业等是 API 攻击的「重灾区」。刘烨解释说, 因为这些行业与上下游伙伴的业务交互大多依靠 API 调用。
特别是金融行业, 根据 Akamai 的互联网状况报告, 从 2022 年第二季度到 2023 年第二季度, 亚太地区和日本的金融服务行业的 Web 应用程序和 API 攻击增加了 36%, 攻击总数超过 37 亿次。
刘烨表示, 金融行业之所以是 API 攻击的重点目标行业, 是因为金融行业的数据非常重要, 包括用户的资金账户信息, 还有金融行业的 API 交互比较复杂, 存在攻击漏洞。
此外, 针对 API, 攻击者大多针对 HTTP 协议本身的漏洞产生攻击, 还有 Active Session、数据挖掘、本地文件包含的攻击手段。应该说,API 的攻击方式是非常多样化的, 企业的防护难度也在增加。
而且 OWASP 的 API Top10 安全隐患显示,API 攻击大多与业务逻辑相关, 攻击者通过找到 API 交互过程中的业务逻辑漏洞来发起攻击, 造成的影响也是巨大的。
「这些攻击不是原来针对传统签名或特征识别就可以防护的攻击, 更多的是要看业务逻辑、建立自己的基线和模型。」刘烨说,「做好 API 安全防护, 需要从可视化、评估漏洞风险和业务逻辑三个方面着手。」
具体来说,API 管理需要足够的可视化, 实现审计和合规性要求;API 的开发需要遵循安全实践, 减少风险点。通过安全产品和更合理的开发, 可以大大帮助解决安全隐患。
刘烨表示, 许多 API 的问题可能源于在开发过程中留下的接口, 这些接口可能仅供内部调用或用于部门间协作。然而, 当这些接口暴露在公网上时, 安全隐患便产生了。
安全问题逐渐从基础层面转向业务逻辑漏洞, 针对业务逻辑的攻击, 可以绕过现有的安全手段, 直接获取更有价值的东西。企业需要特别关注与业务逻辑相关的 API 部分, 建立在不同业务场景下产生的基线, 然后确定哪些是异常情况, 也就是找到 API 和业务逻辑的关联, 哪些是违背了业务逻辑的访问。
Akamai 重塑 API 安全
针对 API 攻击,Akamai 提供了 API Security 产品, 可以实现影子 API、易受攻击的 API、API 滥用等管理, 形成可观测的 API 基线。
刘烨表示, 企业面对 API 攻击, 应该进行如下工作:减少漏洞, 进行 API 发现, 然后进行风险审计、行为检测、响应、事后分析。
在减少漏洞方面, 我们需要了解哪些用户访问了哪些内容、访问了哪些端点以及传输了什么内容。Akamai API Security 产品利用大量离线分析和基于 API 访问日志的建模来建立基准。
Akamai 微分段产品可以防止恶意攻击者在企业内部横向移动至核心系统。因此, 结合 API 安全标准方法论和网络微分段技术,Akamai 可以帮助用户减少漏洞并降低漏洞被利用后的损失。
Akamai 把所有的 API 数据镜像到 Data Lake, 分析用户的 API 访问行为, 并判断是否存在风险, 并关联到 API 防护机制阻断这类型的攻击。
当用户违反了应用逻辑时, 应能识别出该用户。一旦识别出问题, 需要给出防护措施的指导, 如限制或中断用户访问。事后分析有助于优化整体策略, 应对可能的风险和恶意攻击, 提高 API 安全防护水平, 减少潜在漏洞对系统的渗透。
人工智能技术的流行也为 API 攻防带来新的影响。在攻击方面, 人工智能可以帮助攻击者进行数据挖掘, 构建自动化攻击, 并根据防御策略调整自身策略, 从而加快试错的速度。在防护方面, 人工智能可以实现行为分析、异常检测、自适应策略等。
从安全防护方面,Akamai 利用 AI 技术检测 API 漏洞和风险, 实现行为分析、自动响应和策略部署等。刘烨认为, 企业建立自己的安全防护模型需要投入巨大成本, 而且企业的数据量通常不足, 学习样本不足可能会影响模型的准确性。
「在建立安全模型基线方面, 数据量很重要, 这也是 Akamai 作为守方具有更多优势的原因, 因为我们可以看到更多数据, 更精准地建立模型。企业应该积极利用第三方资源, 将 AI 应用于与业务相关的领域。」刘烨说,「尽管人工智能在许多方面为我们做出了贡献, 但最终决策仍然可能需要专业人员的参与。因此, 一个高效的安全团队仍然至关重要, 他们可以利用安全技术, 更好地识别问题, 并制定策略和操作方法。」
面对 API 安全挑战, 企业应该采取更加积极主动的防护措施, 减少漏洞并实施行为分析、响应和事后分析。通过加强对 API 安全的关注和投入, 企业可以更好地保护其 API, 守护核心数据资产。(来源: 至顶网网络与安全频道)
