如今API作为连接服务和传输数据的重要通道,已成为数字时代的新型基础设施,但随之而来的安全问题也日益凸显。随着数字化技术的发展和Web API数量的爆发性增长,API面临的安全攻击风险比其他类型的攻击更加复杂和更难防护。
(Akamai北亚区技术总监 刘烨)
Akamai北亚区技术总监刘烨告诉记者,API在企业中有着广泛的应用,比如应用之间的通信、客户端API调用。Akamai 3月份发布的《潜伏在阴影之中:攻击趋势揭示了API威胁》报告显示,API在Web攻击里面所占的比例越来越高,2023年在所有Web攻击类型里面,针对API的攻击占了将近30%。
API攻击的新观察
在区域分布方面,欧洲的API攻击占比非常高,然后是北美、亚洲和拉丁美洲。而在行业方面,商务行业包括电商、金融行业、制造业等是API攻击的“重灾区”。刘烨解释说,因为这些行业与上下游伙伴的业务交互大多依靠API调用。
特别是金融行业,根据Akamai的互联网状况报告,从2022年第二季度到2023年第二季度,亚太地区和日本的金融服务行业的Web 应用程序和API 攻击增加了36%,攻击总数超过37亿次。
刘烨表示,金融行业之所以是API攻击的重点目标行业,是因为金融行业的数据非常重要,包括用户的资金账户信息,还有金融行业的API交互比较复杂,存在攻击漏洞。
此外,针对API,攻击者大多针对HTTP协议本身的漏洞产生攻击,还有Active Session、数据挖掘、本地文件包含的攻击手段。应该说,API的攻击方式是非常多样化的,企业的防护难度也在增加。
而且OWASP的API Top10安全隐患显示,API攻击大多与业务逻辑相关,攻击者通过找到API交互过程中的业务逻辑漏洞来发起攻击,造成的影响也是巨大的。
“这些攻击不是原来针对传统签名或特征识别就可以防护的攻击,更多的是要看业务逻辑、建立自己的基线和模型。”刘烨说,“做好API安全防护,需要从可视化、评估漏洞风险和业务逻辑三个方面着手。”
具体来说,API管理需要足够的可视化,实现审计和合规性要求;API的开发需要遵循安全实践,减少风险点。通过安全产品和更合理的开发,可以大大帮助解决安全隐患。
刘烨表示,许多API的问题可能源于在开发过程中留下的接口,这些接口可能仅供内部调用或用于部门间协作。然而,当这些接口暴露在公网上时,安全隐患便产生了。
安全问题逐渐从基础层面转向业务逻辑漏洞,针对业务逻辑的攻击,可以绕过现有的安全手段,直接获取更有价值的东西。企业需要特别关注与业务逻辑相关的API部分,建立在不同业务场景下产生的基线,然后确定哪些是异常情况,也就是找到API和业务逻辑的关联,哪些是违背了业务逻辑的访问。
Akamai重塑API安全
针对API攻击,Akamai提供了API Security产品,可以实现影子API、易受攻击的API、API滥用等管理,形成可观测的API基线。
刘烨表示,企业面对API攻击,应该进行如下工作:减少漏洞,进行API发现,然后进行风险审计、行为检测、响应、事后分析。
在减少漏洞方面,我们需要了解哪些用户访问了哪些内容、访问了哪些端点以及传输了什么内容。Akamai API Security产品利用大量离线分析和基于API访问日志的建模来建立基准。
Akamai微分段产品可以防止恶意攻击者在企业内部横向移动至核心系统。因此,结合API安全标准方法论和网络微分段技术,Akamai可以帮助用户减少漏洞并降低漏洞被利用后的损失。
Akamai把所有的API数据镜像到Data Lake,分析用户的API访问行为,并判断是否存在风险,并关联到API防护机制阻断这类型的攻击。
当用户违反了应用逻辑时,应能识别出该用户。一旦识别出问题,需要给出防护措施的指导,如限制或中断用户访问。事后分析有助于优化整体策略,应对可能的风险和恶意攻击,提高API安全防护水平,减少潜在漏洞对系统的渗透。
人工智能技术的流行也为API攻防带来新的影响。在攻击方面,人工智能可以帮助攻击者进行数据挖掘,构建自动化攻击,并根据防御策略调整自身策略,从而加快试错的速度。在防护方面,人工智能可以实现行为分析、异常检测、自适应策略等。
从安全防护方面,Akamai利用AI技术检测API漏洞和风险,实现行为分析、自动响应和策略部署等。刘烨认为,企业建立自己的安全防护模型需要投入巨大成本,而且企业的数据量通常不足,学习样本不足可能会影响模型的准确性。
“在建立安全模型基线方面,数据量很重要,这也是Akamai作为守方具有更多优势的原因,因为我们可以看到更多数据,更精准地建立模型。企业应该积极利用第三方资源,将AI应用于与业务相关的领域。”刘烨说,“尽管人工智能在许多方面为我们做出了贡献,但最终决策仍然可能需要专业人员的参与。因此,一个高效的安全团队仍然至关重要,他们可以利用安全技术,更好地识别问题,并制定策略和操作方法。”
面对API安全挑战,企业应该采取更加积极主动的防护措施,减少漏洞并实施行为分析、响应和事后分析。通过加强对API安全的关注和投入,企业可以更好地保护其API,守护核心数据资产。(来源: 至顶网网络与安全频道)
热门专题
