不只是漏洞:为何 API 滥用成为企业面临的严峻挑战
随着应用程序编程接口 (API) 在战略中的地位日益显著,众多企业正逐步加强其 API 安全态势的成熟度和精密性。这些计划通常从三个主要活动入手:
- 实施 API 发现 以为所有经批准和未经批准的 API 创建完整且准确的清单
- 消除未经批准的 API
- 识别并修复那些可能导致经批准的 API 面临攻击风险的软件和实施漏洞
这些都是必要的做法,并且有一些优秀的资源可用,如 OWASP API 安全十大漏洞 ,其中给出了查找和消除 API 漏洞的高级路线图。但是, 识别并修复 API 漏洞只是 建立稳健的 API 安全策略的起点。
即使您在分类 API 和消除漏洞方面做得非常出色,API 仍然很容易被滥用。API 滥用对业务产生的毁灭性影响可能不亚于漏洞利用带来的影响。
API 滥用是另一个问题
在正式的 API 安全防护方面,早期的工作重点是防止攻击者利用 API 的编码和配置漏洞进行攻击。
API 滥用则是另一个问题。攻击者并没有利用任何技术漏洞,但攻击者使用 API 的方式违背了企业当初创建这些 API 的初衷。
破坏性极大且难以检测
滥用 API 可能会导致极大的破坏性。毕竟,许多企业都通过 API 来公开其核心业务逻辑和数据。攻击者要窃取这些知识产权,唯一需要做的就是找到正确的 API 及与之关联的正确凭据。
而让企业更犯难的是检测 API 滥用困难重重。由于攻击者使用有效的凭据,并以类似合法使用的方式与 API 进行交互,因此许多初代的 API 安全防护产品无法识别和检测到这些攻击。
每个 API 都存在被滥用的风险
每个公开 API 的企业都应假设每个 API 都存在被滥用的风险。例如,考虑一下许多人每天都在使用的网上银行、预算和财务规划应用程序和服务。API 是实现这些便利功能的关键。
拥有凭据的攻击者可以轻易利用固有的业务逻辑并通过这些 API 访问的数据,进而利用这些知识产权来损害金融机构的商业利益和帐户持有者的个人利益。
如何抵御日益增长的 API 滥用威胁
不要把目光从 API 漏洞上移开。构建包括发现、漏洞评估和补救在内的 API 安全防护基石仍然至关重要。
但是,为了全面防御 API 滥用等各种 API 威胁,我们需要增强 API 安全态势。要做到这一点,需要采取三个额外的重要策略:
- 拓宽您对 API 攻击的思考
- 深入分析更多关于 API 的数据
- 利用 API 来发现滥用
拓宽您对 API 攻击构成要素的思考
OWASP API 安全十大漏洞是查找和消除 API 漏洞的重要参考资源。然而,这并不能帮助我们理解 API 是如何被滥用的。在针对 API 滥用的行业框架出现之前,您的团队需要更全面地思考 API 攻击的本质。
深入分析更多关于 API 的数据和活动
其他 API 安全防护解决方案监控个别的 API 调用,或者充其量只监控短期会话。问题是,除了看起来像合法的活动外,API 滥用还可能会在几分钟、几小时或几天内发生。采用 基于软件即服务 (SaaS) 的方法是唯一能够捕获和分析足够大的数据集的方法,这些数据集能够真正了解 API 在特定环境下的使用情况,并从基线行为中发现缓慢的 API 滥用和异常情况。
利用 API 来发现滥用情况
由于 API 活动的速度和数量过于庞大,人类无法主动进行监控和了解。与此同时,许多传统的 API 安全防护技术无法理解其所观察到的活动会对业务造成什么影响。
这就是机器学习和人工智能 (AI) 技术的用武之地。假设您遵循本文中的建议并转向 SaaS:除了拥有更多的数据可供分析,您还能获得必要的计算能力来执行大数据分析任务。
我们无法预测未来,也无法完全预测攻击者滥用 API 的下一个新方式。然而,我们可以利用 AI 技术来确定一个行为基准,了解所涉及的业务实体,并发现可能存在滥用的异常情况。
利用成熟的控制措施抵御当前风险
即使完美的 API 也可能被滥用。要想识别 API 安全风险并减轻影响,您需要采取足够成熟的安全控制措施,才能应对这种复杂且快速变化的威胁态势。了解 Akamai API Security 解决方案如何让 API 更安全。
