應用程序編程接口 (API) 是數字現代化背後的結締組織,幫助應用程序和數據庫更有效地交換數據。泰雷茲旗下(xià) Imperva 的《2024 年 API 安全狀況報告》發現,2023 年大(dà)部分(fēn)互聯網流量 (71%) 是 API 調用。更重要的是,到 2023 年,典型的企業網站平均會發生(shēng) 15 億次 API 調用。
通過 API 的大(dà)量互聯網流量應該引起每個安全專業人員(yuán)的關注。盡管盡了最大(dà)努力采用左移框架和 SDLC 流程,但 API 通常仍會在編目、驗證或審核之前投入生(shēng)産。平均而言,組織在生(shēng)産中(zhōng)擁有 613 個 API 端點,但随着更快、更高效地向客戶提供數字服務的壓力越來越大(dà),這一(yī)數字正在迅速擴大(dà)。随着時間的推移,這些 API 可能會成爲有風險、易受攻擊的端點。
Imperva 在報告中(zhōng)得出結論,API 現在是網絡犯罪分(fēn)子的常見攻擊媒介,因爲它們是訪問敏感數據的直接途徑。事實上,Marsh McLennan 網絡風險分(fēn)析中(zhōng)心的一(yī)項研究發現,與 API 相關的安全事件每年給全球企業造成的損失高達 750 億美元。
更多 API 調用,更多問題
與其他行業相比,2023 年銀行和在線零售的 API 調用量最高。這兩個行業都依賴大(dà)型 API 生(shēng)态系統向客戶提供數字服務。因此,包括銀行在内的金融服務成爲 2023 年 API 相關攻擊的主要目标也就不足爲奇了。
網絡犯罪分(fēn)子使用多種方法來攻擊 API 端點,但一(yī)種常見的攻擊媒介是帳戶接管 (ATO)。當網絡犯罪分(fēn)子利用 API 身份驗證過程中(zhōng)的漏洞獲取對帳戶的未經授權的訪問時,就會發生(shēng)這種攻擊。到 2023 年,所有 ATO 攻擊中(zhōng)近一(yī)半 (45.8%) 以 API 端點爲目标。這些嘗試通常是通過惡意機器人、惡意運行自動化任務的軟件代理形式的自動化來執行的。如果成功,這些攻擊可以将客戶鎖定在其帳戶之外(wài),爲犯罪分(fēn)子提供敏感數據,造成收入損失,并增加違規風險。考慮到銀行和其他金融機構爲其客戶管理的數據的價值,ATO 是一(yī)個令人擔憂的商(shāng)業風險。
爲什麽管理不善的 API 是一(yī)種安全威脅
降低 API 安全風險是一(yī)項獨特的挑戰,即使是最先進的安全團隊也會感到沮喪。該問題源于軟件開(kāi)發的快節奏以及缺乏成熟的工(gōng)具和流程來幫助開(kāi)發人員(yuán)和安全團隊更加協作。因此,近十分(fēn)之一(yī)的 API 很容易受到攻擊,因爲它沒有被正确棄用、沒有受到監控或缺乏足夠的身份驗證控制。
Imperva 在報告中(zhōng)指出了三種常見類型的管理不善的 API 端點,它們會給組織帶來安全風險:影子 API、已棄用的 API 和未經身份驗證的 API。
影子 API:也稱爲未記錄或未發現的 API,這些 API 不受監督、被遺忘和/或在安全團隊的可見範圍之外(wài)。Imperva 估計影子 API 占每個組織的活動 API 集合的 4.7%。引入這些端點的原因有多種——從軟件測試的目的到用作第三方服務的連接器。當這些 API 端點未正确編目或管理時,就會出現問題。企業應該關注影子 API,因爲它們通常可以訪問敏感信息,但沒有人知(zhī)道它們存在于何處或連接到什麽。單個影子 API 可能會導緻合規性違規和監管罰款,或更糟糕的是,有動機的網絡犯罪分(fēn)子會濫用它來訪問組織的敏感數據。
已棄用的 API:棄用 API 端點是軟件生(shēng)命周期中(zhōng)的一(yī)個自然過程。因此,随着軟件以快速、持續的速度更新,已棄用的 API 的存在并不罕見。事實上,Imperva 估計已棄用的 API 平均占組織活動 API 集合的 2.6%。當端點被棄用時,支持此類端點的服務将被更新,并且對已棄用端點的請求應該失敗。但是,如果不更新服務并且不删除 API,端點就會變得容易受到攻擊,因爲它缺乏必要的修補和軟件更新。
未經身份驗證的 API:未經身份驗證的 API 的引入通常是由于錯誤配置、匆忙發布過程的監督或放(fàng)松嚴格的身份驗證過程以适應舊(jiù)版本的軟件造成的。這些 API 平均占組織活動 API 集合的 3.4%。未經身份驗證的 API 的存在會給組織帶來重大(dà)風險,因爲它可能會将敏感數據或功能暴露給未經授權的用戶,并導緻數據洩露或系統操縱。
爲了減輕 API 管理不善帶來的各種安全風險,建議定期進行審核以識别未經監控或未經身份驗證的 API 端點。持續監控可以幫助檢測任何利用與這些端點相關的漏洞的嘗試。此外(wài),開(kāi)發人員(yuán)應定期更新和升級 API,以确保已棄用的端點被更安全的替代方案所取代。
如何保護 API
Imperva 提供了多項建議來幫助組織改善 API 安全狀況:
發現、分(fēn)類和清點所有 API、端點、參數和負載。使用持續發現來維護始終最新的 API 清單并披露敏感數據的暴露情況。
識别并保護敏感和高風險 API。專門針對容易受到破壞的授權和身份驗證以及過多數據洩露的 API 端點執行風險評估。
爲API端點建立強大(dà)的監控系統,以主動檢測和分(fēn)析可疑行爲和訪問模式。
采用集成了 Web 應用程序防火(huǒ)牆 (WAF)、API 保護、分(fēn)布式拒絕服務 (DDoS) 防護和機器人防護的 API 安全方法。全面的緩解選項提供了靈活性和高級保護,以應對日益複雜(zá)的 API 威脅(例如業務邏輯攻擊),這些攻擊對于每個 API 來說都是獨一(yī)無二的,因此防禦起來特别具有挑戰性。
轉載自安全客
上一(yī)篇:蘋果曝出兩個 iOS 系統 0-Day 漏洞
下(xià)一(yī)篇:返回列表