API安全防护难度骤增
随着API技术的发展和广泛应用,近年来黑产通过API接口实施的攻击越来越多,对众多企业和用户都产生了严重影响。尽管已经越来越多的企业意识到保护API接口安全的重要性,但因其引发的安全事件仍然不断发生。
· 2021年4月,Facebook平台上发生5亿用户数据泄漏,源于业务API接口泄漏所致;
· 2020年6月,某平台发生涉及11亿条信息的数据泄露事件,与其两个API接口有关;
· 2020年3月,某平台的3.5亿数据泄露,来自于业务API接口被非法流量调用40亿次所致;
……
相关安全事件仍然不断发生的背后,折射出API安全防护存在着难以解决的难点:
一、API资产管理方面:
与日俱增的API理不清、涉敏API管不住
目前无论是API的数量还是API的复杂度,都在大幅度增加。对于企业来说,与其相关的安全管理能力却很难跟上。很多企业存在难以梳理清楚自己有多少API、是什么类型的API、哪些API携带了什么类型的敏感信息,携带敏感数据的API是否应该携带,其数据处理方式是否合法以及涉敏数据是否被恶意使用等难题。
这些关键信息的缺失,让企业对于潜在安全风险很难进行有效理解和管控。正如我们永远不知道看不见的地方正在发生罪恶,你也不可能对看不见的API施加安全策略。
在永安在线帮助众多客户进行API资产梳理中就发现,客户记录文档里的API与梳理出来的 API 进行比较,有明显的数量差距。如,某垂直领域头部企业的文档中记录了3220个API,但经过永安在线API识别引擎的梳理后,得出的API总量达4310个,其中有43个API存在涉敏情况。多出来的API大部分为历史系统和老版本的API以及因人为疏忽未被记录的API。
经过对API风险的排查之下,发现有21个API存在被黑灰产攻击的风险,可能会导致该平台发生数据泄漏、业务作弊等。而正是这些被遗忘的僵尸API和影子 API 让其存在如此大的安全风险敞口。
二、API风险发现方面:
攻击隐藏在符合逻辑的合法访问请求中
随着攻击者的手段不断变化和升级,现在的攻击流量能够伪装成符合逻辑的正常访问请求,隐藏在海量的正常的业务流量当中,安全团队定位出风险流量的难度大幅增加,容易造成许多 “坏人进来了不知道,窃取完成果也不知道,事后舆论发酵监管层问询才回过神来”的局面。
此外,当API承载的逻辑越来越复杂,API不可避免的存在着可以被利用的Bug或逻辑缺陷。而且,每一个 API 都不同,产生的漏洞逻辑也是独一无二,许多扫描工具都依赖于已知规则和行为识别风险,这种方法很难检测或阻止黑产利用每个API中独特的业务逻辑缺陷来进行的攻击。
例如,在2020年3月份发生的某平台数亿条用户信息被泄漏事件,就是源于API业务逻辑缺陷以及非法流量隐藏在正常访问流量中调用接口超过40亿次所导致。
这个事件中,黑产是通过相关API接口批量手机号上传通讯录,从而匹配出真实的平台用户账号信息。但实际上很多社交App都有通过通讯录匹配好友的功能,该平台允许的是合法用户所做的合法操作,从企业甲方视角来说有利于用户体验。但在黑产攻击的视角中这就是一个可利用的业务逻辑漏洞,并且此API接口中携带着多个维度的敏感信息,更让黑产趋之若鹜。此外,黑产能使用代理、秒拨来隐藏或伪造自身IP,将风险流量隐藏在正常用户访问请求中,就算调用接口高达40亿次,但从行为规则上看还是正常的,企业发现风险的难度很大。
从这个案宗,可以清晰的看到API安全管控面临的两大难点的普遍性及解决的困难程度。并且随着攻防面及黑产攻击方式的变化,不论是基于规则的方式预警可疑API风险,还是基于文件行为来防控风险,都无法解决这些难点。
面对很多安全厂商都难以突破的挑战。永安在线在过去多年也在积极探索解决之道,并走出了一条不同于传统网络安全企业的新路,推出新一代API安全管控平台,能够全面保障企业每一个API的安全运行。
以精准情报建立API安全基线,
提供API安全管理的更优解
有别于很多以规则和行为特征为基础或以AI建立业务基线的方式感知风险的安全厂商,永安在线在技术路线上选择了基于自身强大的情报能力建立业务风险基线,结合人工智能,构建风险检测模型,形成API资产管理、API风险感知及溯源三大核心能力,具备误判率低、可用性高的优点,能切实帮助企业有效提高API安全管理能力。
在API资产梳理上,能够帮助企业自动化梳理业务API调用关系,整理涉敏数据,对资产分级分类,轻松发现及管理所有API。
在API风险感知上,通过精准情报能力,能够帮助企业准确描绘出业务风险全景图,基于该稳定的风险基线,让风险事件发现更精准和全面。此外,情报还能对识别出的风险能给出具体的攻击团伙以及攻击者的攻击方法,让风控变得具备可解释性,为下一步的打击追责提供有利支撑。
结 语
Gartner预测:“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介”。对API进行全面的安全管理成为企业业务能否健康发展的关键因素。企业需要对API资产进行更系统、全面的管理,以更好的管控敏感数据的合规开放;但世界上没有100%完美的管理,风险还是会发生,企业更需要具备能够精准感知内外部风险的能力,才能够有效把控API风险事件的发生。
