随着数字经济时代的到来,移动互联网业务场景迎来大爆发的同时,Web应用程序接口(API)也经历了指数级增长。
作为移动互联网生态的重要信息基础设施,API承载着数据交互的重要作用,在开发新的工具和产品或管理现有工具和产品时,强大灵活的API可以简化应用开发、管理和使用,节省时间和成本,为企业带来更多创新机遇。
瑞数信息在《2021 Bots自动化威胁报告》中提到,作为一种轻量化的技术,API在全球范围内受到企业组织的高度青睐,应用接口呈现爆发式增长。相比2019年,2020年API流量同比增长2.8倍,44%的企业正在建造和维护100个或更多的API。
但伴随越来越多的应用开发深度依赖于API之间的相互调用,API的绝对数量及调用量呈井喷式增长,其安全风险已经成为企业面临的首要问题,身份验证、授权和意外泄露或数据泄露等安全挑战随之而来。
Gartner也曾预测,到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。
编辑搜图
API面临数据安全与业务安全的双重风险
API的高价值使之成为黑客的觊觎目标,API一旦被恶意利用,黑客有可能获取大量敏感数据,给企业带来严重损失。包括FaceBook、Linkedin这样具备一定安全能力的大型互联网公司都遭遇了因API安全问题导致的数据泄漏事件。
·2018年10月,Facebook对外公布了一起大规模数据泄露事件,攻击3000万用户的隐私账号信息被攻击者泄露。Facebook表示,攻击者利用了Facebook“ViewAs”功能接口的三个漏洞,用户可以通过该功能看到个人主页的展示样式,这一功能被攻击者利用获取了大量用户的隐私信息;
·2021年4月,一个自称GOD User TomLiner的攻击者通过API漏洞入侵了7亿多Linkedln用户的数据,并在 RaidForums暗网论坛上出售这些数据,领英回应称,该数据集是攻击者“从领英抓取的”。
针对API的攻击正成为黑灰产及黑客的首选,相较于传统窗体和Web页,API承载的数据价值更大、攻击成本更低,通过攻击API来获取高价值数据、进行业务欺诈等成为越来越多非法分子的常规手段。
传统API安全网关逐渐失灵
安全419在此前与多家安全厂商的沟通交流中了解到,甲方企业在API安全管理方面主要面临两大难题:
其一是,许多甲方企业对自身API资产情况并不掌握,不清楚自身企业当前有多少API,也不能保证当前每个API都具有很良好的访问控制。此外,就算很多企业都采购了API安全网关产品,但也不能保证所有的系统都会上网关。比如,在一些短期的营销活动中,相关的API就会被忽略,在活动结束后变成被遗忘的影子API和僵尸API,为攻击者敞开大门。
其二是,利用自动化工具在合法授权下针对API发起的攻击数量激增,攻击者大量采用以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。针对API的攻击正在变得更加复杂化、多样化、隐蔽化、自动化。在这样的攻击手段下,传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制逐渐失灵。
在API这一并不新鲜的战场上,攻防双方已经展开了更进一步的“军备竞赛”。安全团队和攻击者都在将更复杂的技术带入竞争环境中。攻击者必然会越来越多的将注意力转向API方向,并且无疑会开发出更多更先进的攻击工具和方法对暴露在外的API加以利用。当然,作为网络安全的防守方也并不会束手就缚。
API安全成为热点赛道
安全厂商提出创新思路
纵观当前火热的API安全赛道,众多的厂商都在以各自的视角去看待、思考,并结合自身能力提出安全建设思路,为API接口提供完整的安全管控方案。
在本篇中,我们将对上文曾提到过的瑞数信息的API安全管控平台进行简要介绍。个人看来,这家的API安全思路具有明显的说服力与创新价值。
瑞数API安全管控平台
——以AI为支撑的行为分析技术作为突破口
有别于很多从API安全网关角度切入的安全厂商,瑞数信息以AI人工智能为支撑的行为分析技术作为突破口,推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender),集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能,覆盖了从资产发现到拦截处置的全链条。
瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。
同时,为了防止非法API调用,瑞数API安全管控平台(API BotDefender)通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。
总体而言,相较于传统API安全方案,瑞数API安全管控平台(API BotDefender)着重强调API安全防护能力的提升,以行为分析为基础实现从API接入客户端到API服务器端的全程式API安全威胁防护,其优势也十分明显。
