如今API作为连接服务和传输数据的重要通道,已成为数字时代的新型基础设施,但随之而来的安全问题也日益凸显。随着数字化技术的发展和Web API数量的爆发性增长,API面临的安全攻击风险比其他类型的攻击更加复杂和更难防护。
(Akamai北亚区技术总监 刘烨)
Akamai北亚区技术总监刘烨告诉记者,API在企业中有着广泛的应用,比如应用之间的通信、客户端API调用。Akamai 3月份发布的《潜伏在阴影之中:攻击趋势揭示了API威胁》报告显示,API在Web攻击里面所占的比例越来越高,2023年在所有Web攻击类型里面,针对API的攻击占了将近30%。
API攻击的新观察
在区域分布方面,欧洲的API攻击占比非常高,然后是北美、亚洲和拉丁美洲。而在行业方面,商务行业包括电商、金融行业、制造业等是API攻击的“重灾区”。刘烨解释说,因为这些行业与上下游伙伴的业务交互大多依靠API调用。
特别是金融行业,根据Akamai的互联网状况报告,从2022年第二季度到2023年第二季度,亚太地区和日本的金融服务行业的Web 应用程序和API 攻击增加了36%,攻击总数超过37亿次。
刘烨表示,金融行业之所以是API攻击的重点目标行业,是因为金融行业的数据非常重要,包括用户的资金账户信息,还有金融行业的API交互比较复杂,存在攻击漏洞。
此外,针对API,攻击者大多针对HTTP协议本身的漏洞产生攻击,还有Active Session、数据挖掘、本地文件包含的攻击手段。应该说,API的攻击方式是非常多样化的,企业的防护难度也在增加。
而且OWASP的API Top10安全隐患显示,API攻击大多与业务逻辑相关,攻击者通过找到API交互过程中的业务逻辑漏洞来发起攻击,造成的影响也是巨大的。
“这些攻击不是原来针对传统签名或特征识别就可以防护的攻击,更多的是要看业务逻辑、建立自己的基线和模型。”刘烨说,“做好API安全防护,需要从可视化、评估漏洞风险和业务逻辑三个方面着手。”
具体来说,API管理需要足够的可视化,实现审计和合规性要求;API的开发需要遵循安全实践,减少风险点。通过安全产品和更合理的开发,可以大大帮助解决安全隐患。
刘烨表示,许多API的问题可能源于在开发过程中留下的接口,这些接口可能仅供内部调用或用于部门间协作。然而,当这些接口暴露在公网上时,安全隐患便产生了。
安全问题逐渐从基础层面转向业务逻辑漏洞,针对业务逻辑的攻击,可以绕过现有的安全手段,直接获取更有价值的东西。企业需要特别关注与业务逻辑相关的API部分,建立在不同业务场景下产生的基线,然后确定哪些是异常情况,也就是找到API和业务逻辑的关联,哪些是违背了业务逻辑的访问。
Akamai重塑API安全
针对API攻击,Akamai提供了API Security产品,可以实现影子API、易受攻击的API、API滥用等管理,形成可观测的API基线。
刘烨表示,企业面对API攻击,应该进行如下工作:减少漏洞,进行API发现,然后进行风险审计、行为检测、响应、事后分析。
在减少漏洞方面,我们需要了解哪些用户访问了哪些内容、访问了哪些端点以及传输了什么内容。Akamai API Security产品利用大量离线分析和基于API访问日志的建模来建立基准。
Akamai微分段产品可以防止恶意攻击者在企业内部横向移动至核心系统。因此,结合API安全标准方法论和网络微分段技术,Akamai可以帮助用户减少漏洞并降低漏洞被利用后的损失。
Akamai把所有的API数据镜像到Data Lake,分析用户的API访问行为,并判断是否存在风险,并关联到API防护机制阻断这类型的攻击。
当用户违反了应用逻辑时,应能识别出该用户。一旦识别出问题,需要给出防护措施的指导,如限制或中断用户访问。事后分析有助于优化整体策略,应对可能的风险和恶意攻击,提高API安全防护水平,减少潜在漏洞对系统的渗透。
人工智能技术的流行也为API攻防带来新的影响。在攻击方面,人工智能可以帮助攻击者进行数据挖掘,构建自动化攻击,并根据防御策略调整自身策略,从而加快试错的速度。在防护方面,人工智能可以实现行为分析、异常检测、自适应策略等。
从安全防护方面,Akamai利用AI技术检测API漏洞和风险,实现行为分析、自动响应和策略部署等。刘烨认为,企业建立自己的安全防护模型需要投入巨大成本,而且企业的数据量通常不足,学习样本不足可能会影响模型的准确性。
“在建立安全模型基线方面,数据量很重要,这也是Akamai作为守方具有更多优势的原因,因为我们可以看到更多数据,更精准地建立模型。企业应该积极利用第三方资源,将AI应用于与业务相关的领域。”刘烨说,“尽管人工智能在许多方面为我们做出了贡献,但最终决策仍然可能需要专业人员的参与。因此,一个高效的安全团队仍然至关重要,他们可以利用安全技术,更好地识别问题,并制定策略和操作方法。”
面对API安全挑战,企业应该采取更加积极主动的防护措施,减少漏洞并实施行为分析、响应和事后分析。通过加强对API安全的关注和投入,企业可以更好地保护其API,守护核心数据资产。(来源: 至顶网网络与安全频道)
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )