[调研]API攻击随应用面扩大而激增

随着敏捷开发的普及，Web应用程序编程接口采用率同步大幅增加，依靠软件的公司暴露出了更大范围的攻击面，恶意黑客可利用的点更多了。

最近发布的两份报告表明，总体而言，过去一年中API使用量飙升，每家公司在用API数量约为1.56万个，且API流量翻了两番，达到平均每年8.2亿次API调用请求。而应用开发人员关注哪里，攻击者也跟着集火哪里：API安全公司Salt Security在3月份发布的《API 安全状况》报告显示，恶意API流量一年来激增近七倍。

Salt Security首席产品官Elad Koren表示，一方面，开发趋势变更，另一方面，第三方软件组件暴露出的API利用漏洞不断增加，因而攻击者会继续瞄准方便利用的接口。

他说道：“攻击肯定会增加，因为攻击面显然是在扩大的。但情况不仅仅如此。还有Spring4Shell和Log4j这样的漏洞，所有这些新发现的漏洞都是该新攻击面的一部分，而恶意黑客不会放过利用这些脆弱的暴露面。”

这种种趋势都是应用安全面临的全新挑战。开发团队一贯快速推进，通常不会全面记录为连接云端或网络上不同应用组件而创建的诸多API。佛瑞斯特研究所首席分析师Sandy Carielli认为，这就造成各家公司不清楚自身API库存情况，也不知道这些应用程序接口是否安全。

API调用量与恶意API调用量增长对比

于是，API安全问题排名业务分析公司简报主题前五就毫不令人意外了。

Carielli表示：“恶意流量的持续增加肯定不会让我感到惊讶。随着越来越多的企业转向使用API，经由API的应用流量占比肯定会升高，你自然会看到流经这一渠道的恶意流量变多。”

驾驭API攻击面

企业纷纷转向云原生和敏捷开发方法的趋势推动了API保有量及流量的不断增长。API安全公司Noname Security联合创始人兼首席执行官Oz Golan表示，应用程序开发典型冲刺时间为两到三周，因此开发团队有大把机会向服务和应用程序中引入API错误配置和漏洞。

Golan说道：“随着企业努力加快推进自身数字化转型过程，更多的API漏洞会不断浮现出来被恶意黑客利用。除非企业放慢业务运营并开展全面测试，否则其运营就会暴露于风险之中。”

在Noname Security赞助下，标普全球市场财智（S&P Global Market Intelligence）发布《2022年API安全趋势报告》。报告揭示，每家公司平均拥有近1.56万个API，去年API安全事件发生率为41%。然而，API安全供应商收集数据（包括向来解读各异的调查结果）时使用不同的标准，造成研究结论也是纷繁复杂。比如，Salt Security在3月份发布的《API安全状况》报告中就指出，客户公司平均拥有135个API，API安全事件发生率高达95%。

尽管数字不一致（有时甚至差异巨大），但这两家调研机构都报告称其客户的相对API使用量出现显著增长，恶意API流量亦相对增加。

应对API安全挑战

基于此，各家公司需全面考量自身API及其员工的API使用情况，包括API的源地址、目的地址、类型、数据敏感度、所有者和API访问是否需要权限等。佛瑞斯特研究所首席分析师Carielli表示，截至目前，公司在跟踪API库存方面做得并不好。

她说道：“理想情况下，你会让开发团队为每个API创建并更新规范文件。然而，理想很丰满，现实很骨感。很多发现工具都不得不分析流量并对API进行预发布测试，从而确保设置了恰当的控制措施且管理良好。”

API保护措施与应用程序的整体安全密切相关。关注安全设计和威胁建模意味着要阻止小缺陷变成修复代价高昂的大漏洞。Salt Security的Koren表示，在部署后测试和监控API使用情况，与收集攻击者数据和防止开发过程中未发现的问题造成损害同等重要。

Koren指出，在设计阶段就考虑API安全可以尽可能多地修复安全漏洞，但运行时安全同样必不可少，因为运行时安全能够让应用程序所有者安心，且可了解攻击者所用的战术。

“时至今日，左侧（开发侧）流程安全非常重要，但不能与运行时安全互换。无论你有多好的工具，都不可能在开发阶段就捕获所有的漏洞。你必须拥有运行时安全，因为这二者是不可互换的。”

标普全球市场财智《2022年API安全趋势报告》：

https://nonamesecurity.com/api-security-trends-report

Salt Security《API安全状况》报告：

https://salt.security/press-releases/salt-security-state-of-api-security-report-reveals-api-attacks-increased-681-in-the-last-12-months