潜伏在阴影之中:攻击趋势揭示了 API 威胁
今年是 Akamai 发布《互联网现状》(SOTI) 报告 10 周年,我们在这些报告中分享了我们对威胁的深入见解以及数据结论。多年来,由于企业运营方式和威胁形势的演变,这些报告的关注点也发生了一些变化。今年的一个关键变化是:我们没有将 Web 应用程序攻击与 API 攻击 视为一种攻击形式,而是将两者区分开来,以便让您获得更详细的态势感知。
确保 API 安全的关键是拥有监测能力。业务转型推动了 API 的使用,但对 API 的快速部署导致出现僵尸 API、影子 API 和恶意 API 等盲点。因此,您需要通过网络控制措施来发现和管理所有 API。
近期发表的 SOTI 报告 潜伏在阴影之中:攻击趋势揭示了 API 威胁重点介绍了针对网站和 API 的攻击,包括传统的网络攻击以及针对 API 的攻击,例如可能导致滥用或允许直接攻击的安全态势和运行时挑战。该报告还谈到了关于抵御威胁、化解新出现的合规挑战的最佳做法。
报告的关键见解
在 2023 年 1 月至 12 月这 12 个月期间,共有 29% 的网络攻击以 API 为目标,这表明 API 是网络犯罪分子重点攻击的目标。
对 API 的攻击范围超出了 开放式 Web 应用程序安全项目 (OWASP) 十大 API 安全风险清单,攻击者主要使用一些行之有效的方法,例如,本地文件包含 (LFI)、结构化查询语言注入 (SQLi) 和跨站点脚本 (XSS) 来入侵他们的目标。
业务逻辑滥用成为一个严重问题,因为在缺乏 API 行为基线的情况下,识别异常的 API 活动变得尤为困难。企业若缺乏解决方案来监视 API 活动中的异常情况,将面临运行时攻击的风险。例如,数据抓取作为一种新兴的数据泄露媒介,可利用经身份验证的 API 从企业内部缓慢窃取数据。
API 是当今大多数数字化转型的关键所在,所以了解行业趋势和相关应用场景(例如会员欺诈、滥用、授权问题和盗刷攻击)至关重要。
企业需要尽早考虑合规要求和新出台的法规,以避免未来可能需要重新设计。
API 成为攻击重灾区
由于 API 在客户和合作伙伴企业中都承担着重要的作用,因此 API 日渐成为获取关键和有价值信息的门户。许多安全企业所面临的挑战是缺乏 API 基础架构/编程技能。此外,许多企业对其 API 缺少全面而 准确的统计 ,这种缺乏治理的情况使企业难以知道 API 的攻击面有多大。
Akamai 的研究发现,API 正在成为攻击目标,攻击手段不仅包括传统攻击方式,还有针对 API 设计的特定攻击技术,因而需要采取多种保护措施。实际上,我们发现,从 2023 年 1 月到 12 月,近 30% 的网络攻击以 API 为目标(图 1)。
图 1:针对 API 的网络攻击从 1 月份的 22% 增长到 12 月份的 28%,2023 年 3 月至 5 月期间出现几次波动
API 滥用和其他安全挑战
除了 OWASP 十大 API 安全风险清单 中强调的风险之外,企业还面临着无数其他 API 安全挑战,例如我们将其归类为态势问题和运行时问题的常见漏洞。
1. 态势问题 与企业 API 实施中的缺陷有关。指示态势问题的告警可有助于安全团队识别并修复高优先级漏洞,提前避免攻击者利用这些漏洞。最常见的态势问题包括:
- 影子端点
- 未经身份验证的资源访问
- URL 中的敏感数据
- 宽松的 CORS 策略
- 客户端错误过多
2. 运行时问题 是需要紧急回应的主动威胁或行为。虽然这些告警通常在本质上具有关键性,但与其他类型的安全告警相比,它们更隐蔽,因为它们采用了 API 滥用的形式,而不是较为明确的基础架构入侵尝试。最常见的运行时问题包括:
- 未经身份验证的资源访问尝试
- JSON 属性异常
- 路径参数模糊测试尝试
- 不可能的时间旅行
- 数据抓取
同样重要的是,您需要从更高的层面来了解 API 所面临的三个更为普遍的挑战,以确保您的安全计划涵盖以下内容: API 滥用 和利用。
1. 监测:您是否采取了适当的流程和技术控制措施来确保自己的安全计划能够保护所有 API?这是一个关键问题,因为 API 通常是转型的一部分或嵌入到新产品中,因此许多 API 没有像传统网络业务那样的指导、保护和验证措施。
2. 漏洞:您的 API 是否遵循最佳开发做法?您是否避免了 OWASP 中最常见的编码质量不佳问题?此外,您是否在跟踪和检查漏洞?
3. 业务逻辑滥用:您是否有预期流量的基准值?您是否确定了可疑活动的构成要素?
以上问题的答案构成了您的团队应了解内容的基础。总体目标应该是具有开展调查的可见性和能力,并建立能够快速抵御威胁的流程。不管是面向客户的 API,还是内部 API,都是如此。完整的 SOTI 报告包括一些针对特定行业的威胁方法的说明性案例研究。
增强对 API 环境的可见性
在解决 API 编程质量问题后,您必须确保自己的安全计划能够保护您的所有 API。在这种情况下,“您无法抵御未知的攻击”这句俗话从未如此在理。以下是针对您的管理目标的一些标准:
- 发现 ——了解企业内部的 API 清单
- 风险审计 ——了解发现的每个 API 的风险状况
- 行为检测 ——了解正常使用与异常滥用的区别,以检查每个 API 上的主动威胁
- 调查与 威胁搜寻 ——了解由专业人工威胁搜寻人员发现的潜伏在 API 资产内部的威胁
发现和管理 API 的好处
好消息是,一旦您具备发现 API 的功能并开始管理 API,您便可获得巨大的好处。图 2 中的匿名示例说明了我们的一位企业客户因此所获得的好处。
在 1 月和 2 月,由于该企业采取了一些初步措施来消除影子 API、开展整顿并对其 API 安全态势进行一些初步改进,威胁风险开始下降。在对 API 资产进行更改时,我们观察到态势告警偶尔会出现峰值。通过利用 API 监测能力,他们能够快速修复可能的漏洞。
图 2:企业在拥有对 API 环境的监测能力后,API 资产的波动情况便会一目了然,而且告警数量也显著减少
您可以通过以下五个步骤获得这些好处:
通过监测能力找到 API
开展整顿
增强 API 安全态势
加强威胁检测和响应
制定更强的防御策略
合规性如何影响您的安全计划
在制定安全计划时,不要忘记合规性要求。尽管目前关于 API 的法律/法规还不是很多,但您应该利用一些最佳做法(如 OWASP, 与编码实践相关的指导)和准则(如美国国家标准协会的准则)来确保您正在采取正确的措施来保护您的客户。
现行法规,如欧盟的 《通用数据保护条例》(GDPR) 就包括 API;还有一些新标准,如 支付卡行业数据安全标准 (PCI DSS) v4.0 也特别提到了 API 及其保护 API 的重要性。
如何保护 API 免受攻击
在努力确保您的安全计划能够保护自己的所有 API 时,您需要评估发现、调查和抵御攻击的能力。接下来,您的红队应该测试身份验证和公开数据的安全态势,以及 JSON 属性和抓取等运行时问题。
这些验证测试应构建为蓝队练习,以确保您拥有适当的流程来减轻这些影响。SOTI 报告中回顾的应用场景(如会员欺诈和盗刷攻击等)是用于测试计划的理想模板。
了解更多
完整报告还包括各地区的 API 攻击趋势:亚太地区和日本 (APJ) 以及欧洲、中东和非洲 (EMEA) 的分析。要了解有关最新威胁的更多信息并获得其他见解,请访问我们的 安全研究中心。