숨어 있는 API 위협에 대한 공격 트렌드 분석

• 웹 공격의 총 29%가 12개월 동안(2023년 1월~12월) API를 표적으로 삼았습니다. 이는 API가 사이버 범죄의 집중 분야임을 나타냅니다.

• API에 대한 공격의 범위는 OWASP(Open Web Application Security Project) API 보안 상위 10개를 넘어섰으며,공격자들은 주로 로컬 파일 인클루전(LFI), 구조화된 쿼리 언어 인젝션(SQLi), 크로스 사이트 스크립팅(XSS)과 같은 검증된 방법을 사용하여 표적에 침투합니다.  

• 비즈니스 로직 남용은 API 행동에 대한 기준선을 설정하지 않으면 비정상적인 API 활동을 탐지하기 어렵기 때문에 매우 중요한 문제입니다. 기업은 API 활동의 비정상을 모니터링하는 솔루션이 없을 경우, 인증된 API로 내부에서 데이터를 천천히 스크레이핑하는 새로운 데이터 유출 기법인 데이터 스크레이핑과 같은 런타임 공격의 리스크에 노출됩니다.

• API는 오늘날 대부분의 디지털 혁신의 핵심이므로 로열티 사기, 남용, 권한, 카딩 공격과 같은 관련 사용 사례와 업계 트렌드를 이해하는 것이 무엇보다 중요합니다. 

• 기업들은 초기에 컴플라이언스 요건과 새로운 법률을 고려함으로써 아키텍처를 재설계하는 일이 없도록 주의해야 합니다.

기업들은 OWASP API 보안 상위 10대 취약점에서 강조한 리스크 외에도 체계 문제 및 런타임 문제로 분류되는 일반적인 취약점과 같은 수많은 다른 API 보안 문제에 직면해 있습니다.

1. 체계 문제는 기업의 API 구축 결함과 관련이 있습니다. 체계 문제를 나타내는 알림은 보안 팀이 공격자가 악용하기 전에 우선 순위가 높은 취약점을 식별하고 해결하는 데 도움이 됩니다. 가장 일반적인 체계 문제는 다음과 같습니다.

• 섀도 엔드포인트
• 인증되지 않은 리소스 액세스
• URL의 민감한 데이터
• 허용적인 CORS 정책
• 과도한 클라이언트 오류

2. 런타임 문제는 긴급한 대응이 필요한 활성 위협 또는 행동입니다. 본질적으로 중요한 경우가 많지만, 이러한 알림은 보다 명시적인 인프라 유출 시도와는 달리 API 남용 형태를 취하기 때문에 다른 종류의 보안 알림보다 더 미묘합니다. 대부분의 런타임 문제는 다음과 같습니다.

• 인증되지 않은 리소스 접속 시도
• 비정상적인 JSON 속성
• 경로 매개변수 퍼징 시도
• 불가능한 시간 여행
• 데이터 스크레이핑

또한 보안 프로그램이 다룰 수 있도록 API가 직면하는 세 가지 일반적인 도전 과제를 한발 물러서서 살펴보는 것도 중요합니다. API 남용 및 악용.

1. 가시성: 프로그램이 모든 API를 확실히 보호하도록 하기 위한 프로세스 및 기술적 제어 수단을 갖추고 있나요? API는 종종 혁신의 일부이거나 신제품에 내장되어 있기 때문에 많은 API가 기존 웹 제품과 동일한 수준의 지침, 보호 및 검증을 제공하지 못하므로 이는 중요한 문제입니다. 

2. 취약점: 기업 API가 개발 모범 사례를 따르고 있나요? OWASP의 가장 일반적인 잘못된 코딩 문제를 피하고 있나요? 또한 취약점을 추적하고 확인하고 있나요?  

3. 비즈니스 로직 남용: 예상 트래픽 기준선이 있나요? 의심스러운 활동이 무엇인지 파악했나요?

이러한 질문에 대한 답변은 팀이 이해해야 할 내용의 기초가 됩니다. 전반적인 목표는 조사를 수행할 수 있는 가시성과 능력을 확보하고 위협을 신속하게 방어할 수 있는 프로세스를 수립하는 것입니다. 이는 고객 대면 및 내부 API 모두에 해당됩니다. 전체 SOTI 보고서에는 위협 방법론에 대한 업계별 사례 연구가 포함되어 있습니다.

API 프로그래밍의 품질을 해결한 후에는 모든 API가 보안 프로그램에 의해 보호되는지 확인해야 합니다. "잘 모르는 공격은 방어할 수 없습니다"는 오래된 속담이 이 시나리오보다 더 맞은 적은 없습니다. 다음은 관리 목표의 몇 가지 기준입니다.

• 탐색 - 기업 내 API 인벤토리에 대한 가시성
• 리스크 감사 - 발견된 각 API의 리스크 체계에 대한 가시성
• 행동 탐지 - 각 API에서 활성 위협을 확인하기 위한 정상적인 사용 및 비정상적인 남용에 대한 가시성
• 조사 및 위협 탐색 - 전문 위협 탐색팀이 발견한 API 자산 내부에 숨어 있는 위협에 대한 가시성

다음 5단계를 통해 이러한 이점을 누릴 수 있습니다. 

1. 그림자에 빛 비추기

2. 조직화

3. API 체계 강화

4. 위협 탐지 및 대응 개선

5. 더 강력한 공격 개발

보안 프로그램을 고려할 때는 컴플라이언스를 잊지 마십시오. 오늘날, API 법률 및 규정은 아직 많지 않지만, 고객을 올바로 보호하기 위해 활용해야 하는 모범 사례(코딩 관행에 대한 OWASP 가이드)와 가이드(미국 국립 표준 연구소 등)이 있습니다.

유럽 연합의 글로벌 데이터 보호 규정(GDPR)과 같은 현재 규정에는 API가 포함되어 있으며 결제 카드 업계 데이터 보안 표준(PCI DSS) v4.0과 같은 새로운 표준에서도 API와 API 보안의 중요성을 구체적으로 명시하고 있습니다.

보안 프로그램을 통해 모든 API를 보호하기 위해 노력하면서 검색, 조사 및 방어 기능을 평가해야 합니다. 다음으로, 레드 팀은 인증 및 노출된 데이터에 대한 보안 체계는 물론 JSON 속성 및 스크레이핑과 같은 런타임 문제를 테스트해야 합니다.

이 검증 테스트는 영향을 방어하기 위한 최신 프로세스를 확보하기 위해 퍼플 팀 연습으로 구축되어야 합니다. SOTI 보고서에서 검토된 사용 사례(로열티 사기 및 카딩 공격 등)는 테스트 계획에 사용할 수 있는 훌륭한 템플릿입니다.