Akamai北亞區(qū)技術(shù)總監(jiān)劉燁告訴記者,API在企業(yè)中有著廣泛的應(yīng)用,比如應(yīng)用之間的通信、客戶端API調(diào)用�。Akamai 3月份發(fā)布的《潛伏在陰影之中:攻擊趨勢揭示了API威脅》報告顯示,API在Web攻擊里面所占的比例越來越高,2023年在所有Web攻擊類型里面,針對API的攻擊占了將近30%。
API攻擊的新觀察
在區(qū)域分布方面,歐洲的API攻擊占比非常高,然后是北美�����、亞洲和拉丁美洲��。而在行業(yè)方面,商務(wù)行業(yè)包括電商��、金融行業(yè)�����、制造業(yè)等是API攻擊的“重災(zāi)區(qū)”����。劉燁解釋說,因?yàn)檫@些行業(yè)與上下游伙伴的業(yè)務(wù)交互大多依靠API調(diào)用����。
特別是金融行業(yè),根據(jù)Akamai的互聯(lián)網(wǎng)狀況報告,從2022年第二季度到2023年第二季度,亞太地區(qū)和日本的金融服務(wù)行業(yè)的Web 應(yīng)用程序和API 攻擊增加了36%,攻擊總數(shù)超過37億次。
劉燁表示,金融行業(yè)之所以是API攻擊的重點(diǎn)目標(biāo)行業(yè),是因?yàn)榻鹑谛袠I(yè)的數(shù)據(jù)非常重要,包括用戶的資金賬戶信息,還有金融行業(yè)的API交互比較復(fù)雜,存在攻擊漏洞�����。
此外,針對API,攻擊者大多針對HTTP協(xié)議本身的漏洞產(chǎn)生攻擊,還有Active Session、數(shù)據(jù)挖掘���、本地文件包含的攻擊手段����。應(yīng)該說,API的攻擊方式是非常多樣化的,企業(yè)的防護(hù)難度也在增加����。
而且OWASP的API Top10安全隱患顯示,API攻擊大多與業(yè)務(wù)邏輯相關(guān),攻擊者通過找到API交互過程中的業(yè)務(wù)邏輯漏洞來發(fā)起攻擊,造成的影響也是巨大的。
“這些攻擊不是原來針對傳統(tǒng)簽名或特征識別就可以防護(hù)的攻擊,更多的是要看業(yè)務(wù)邏輯��、建立自己的基線和模型�。”劉燁說,“做好API安全防護(hù),需要從可視化�����、評估漏洞風(fēng)險和業(yè)務(wù)邏輯三個方面著手�����?!?/p>
具體來說,API管理需要足夠的可視化,實(shí)現(xiàn)審計(jì)和合規(guī)性要求;API的開發(fā)需要遵循安全實(shí)踐,減少風(fēng)險點(diǎn)。通過安全產(chǎn)品和更合理的開發(fā),可以大大幫助解決安全隱患����。
劉燁表示,許多API的問題可能源于在開發(fā)過程中留下的接口,這些接口可能僅供內(nèi)部調(diào)用或用于部門間協(xié)作���。然而,當(dāng)這些接口暴露在公網(wǎng)上時,安全隱患便產(chǎn)生了。
安全問題逐漸從基礎(chǔ)層面轉(zhuǎn)向業(yè)務(wù)邏輯漏洞,針對業(yè)務(wù)邏輯的攻擊,可以繞過現(xiàn)有的安全手段,直接獲取更有價值的東西���。企業(yè)需要特別關(guān)注與業(yè)務(wù)邏輯相關(guān)的API部分,建立在不同業(yè)務(wù)場景下產(chǎn)生的基線,然后確定哪些是異常情況,也就是找到API和業(yè)務(wù)邏輯的關(guān)聯(lián),哪些是違背了業(yè)務(wù)邏輯的訪問���。
Akamai重塑API安全
針對API攻擊,Akamai提供了API Security產(chǎn)品,可以實(shí)現(xiàn)影子API��、易受攻擊的API��、API濫用等管理,形成可觀測的API基線�。
劉燁表示,企業(yè)面對API攻擊,應(yīng)該進(jìn)行如下工作:減少漏洞,進(jìn)行API發(fā)現(xiàn),然后進(jìn)行風(fēng)險審計(jì)、行為檢測�、響應(yīng)、事后分析����。
在減少漏洞方面,我們需要了解哪些用戶訪問了哪些內(nèi)容、訪問了哪些端點(diǎn)以及傳輸了什么內(nèi)容�。Akamai API Security產(chǎn)品利用大量離線分析和基于API訪問日志的建模來建立基準(zhǔn)。
Akamai微分段產(chǎn)品可以防止惡意攻擊者在企業(yè)內(nèi)部橫向移動至核心系統(tǒng)����。因此,結(jié)合API安全標(biāo)準(zhǔn)方法論和網(wǎng)絡(luò)微分段技術(shù),Akamai可以幫助用戶減少漏洞并降低漏洞被利用后的損失��。
Akamai把所有的API數(shù)據(jù)鏡像到Data Lake,分析用戶的API訪問行為,并判斷是否存在風(fēng)險,并關(guān)聯(lián)到API防護(hù)機(jī)制阻斷這類型的攻擊����。
當(dāng)用戶違反了應(yīng)用邏輯時,應(yīng)能識別出該用戶���。一旦識別出問題,需要給出防護(hù)措施的指導(dǎo),如限制或中斷用戶訪問�����。事后分析有助于優(yōu)化整體策略,應(yīng)對可能的風(fēng)險和惡意攻擊,提高API安全防護(hù)水平,減少潛在漏洞對系統(tǒng)的滲透���。
人工智能技術(shù)的流行也為API攻防帶來新的影響。在攻擊方面,人工智能可以幫助攻擊者進(jìn)行數(shù)據(jù)挖掘,構(gòu)建自動化攻擊,并根據(jù)防御策略調(diào)整自身策略,從而加快試錯的速度����。在防護(hù)方面,人工智能可以實(shí)現(xiàn)行為分析、異常檢測�、自適應(yīng)策略等。
從安全防護(hù)方面,Akamai利用AI技術(shù)檢測API漏洞和風(fēng)險,實(shí)現(xiàn)行為分析���、自動響應(yīng)和策略部署等��。劉燁認(rèn)為,企業(yè)建立自己的安全防護(hù)模型需要投入巨大成本,而且企業(yè)的數(shù)據(jù)量通常不足,學(xué)習(xí)樣本不足可能會影響模型的準(zhǔn)確性���。
“在建立安全模型基線方面,數(shù)據(jù)量很重要,這也是Akamai作為守方具有更多優(yōu)勢的原因,因?yàn)槲覀兛梢钥吹礁鄶?shù)據(jù),更精準(zhǔn)地建立模型�����。企業(yè)應(yīng)該積極利用第三方資源,將AI應(yīng)用于與業(yè)務(wù)相關(guān)的領(lǐng)域���。”劉燁說,“盡管人工智能在許多方面為我們做出了貢獻(xiàn),但最終決策仍然可能需要專業(yè)人員的參與���。因此,一個高效的安全團(tuán)隊(duì)仍然至關(guān)重要,他們可以利用安全技術(shù),更好地識別問題,并制定策略和操作方法����?�!?/p>
面對API安全挑戰(zhàn),企業(yè)應(yīng)該采取更加積極主動的防護(hù)措施,減少漏洞并實(shí)施行為分析���、響應(yīng)和事后分析。通過加強(qiáng)對API安全的關(guān)注和投入,企業(yè)可以更好地保護(hù)其API,守護(hù)核心數(shù)據(jù)資產(chǎn)���。
