安全報(bào)告丨如何平衡API的易用性與安全性？

迄今為止，API已從相對(duì)簡(jiǎn)單的系統(tǒng)間通信方法發(fā)展成為廣泛應(yīng)用的互聯(lián)網(wǎng)技術(shù)。相比DDoS攻擊和勒索軟件，針對(duì)API攻擊的檢測(cè)力度遠(yuǎn)遠(yuǎn)不夠。

為守護(hù)數(shù)字化時(shí)代的信息安全，Akamai攜手Veracode合作發(fā)布了《API：與每個(gè)人息息相關(guān)的攻擊》安全報(bào)告，分享應(yīng)對(duì)API攻擊的一些見(jiàn)解。

攻擊覆蓋面擴(kuò)張多行業(yè)面臨API風(fēng)險(xiǎn)

Gartner數(shù)據(jù)顯示：“2021年，90%的Web應(yīng)用程序因API而非UI導(dǎo)致攻擊面增大，這一數(shù)字遠(yuǎn)遠(yuǎn)高于2019年40%的占比?！盵LX1]面對(duì)高頻API攻擊，OWASP發(fā)布了API十大安全漏洞。當(dāng)下，API面臨著基于Web的應(yīng)用程序多年來(lái)一直在應(yīng)對(duì)的同類(lèi)問(wèn)題。

API出眾的通用性，便于企業(yè)和用戶(hù)輕松訪問(wèn)，但有時(shí)候也會(huì)造成失控?！禩witter API安全性披露》顯示，該社交平臺(tái)應(yīng)用API的初衷是方便用戶(hù)尋找通訊錄里的好友，但惡意攻擊者卻利用API鏈接大量虛假帳戶(hù)。

Akamai報(bào)告顯示，API服務(wù)商同樣被網(wǎng)絡(luò)攻擊者所“盯梢”，Twilio便是其中一家。Akamai設(shè)置的蜜罐陷阱，曾觀察到直接針對(duì)“twilio.env”文件的掃描活動(dòng)，攻擊者一旦找到SID和身份驗(yàn)證令牌，隨后便可以盜取帳戶(hù)，轉(zhuǎn)售給潛在買(mǎi)家。

如圖所示：一名惡意攻擊者打算購(gòu)買(mǎi)Twilio訪問(wèn)憑據(jù)

并且高度關(guān)注啟用了自動(dòng)充值的帳戶(hù)

在醫(yī)療保健行業(yè)，保證API安全性同樣是一大挑戰(zhàn)。該行業(yè)普遍重視API集成和數(shù)據(jù)訪問(wèn)的應(yīng)用，但部署基礎(chǔ)越大，防御就越困難。因?yàn)锳PI很容易遭到受損對(duì)象級(jí)授權(quán)(BOLA)漏洞的攻擊。這使得醫(yī)患的個(gè)人身份信息(PII)和受保護(hù)的醫(yī)療保健信息(PHI)面臨潛在風(fēng)險(xiǎn)。

應(yīng)用程序和API漏洞頻出原因何在

事實(shí)上，API風(fēng)險(xiǎn)飆升與企業(yè)開(kāi)發(fā)追趕項(xiàng)目進(jìn)度高度相關(guān)。Enterprise Strategy Group(ESG)去年代表Veracode進(jìn)行了一項(xiàng)調(diào)查，結(jié)果顯示：48%的受訪企業(yè)承認(rèn)時(shí)常會(huì)推送易受攻擊的代碼。其中54%的企業(yè)表示推送易受攻擊的代碼是為了“趕上關(guān)鍵的發(fā)布期限”，并計(jì)劃在后續(xù)版本中進(jìn)行修復(fù)。

當(dāng)然，先上產(chǎn)品，后加補(bǔ)丁并不意味著完全忽略安全性。這不過(guò)是為了防止影響業(yè)務(wù)或用戶(hù)體驗(yàn)而分出輕重緩急的分類(lèi)處理方式。此外，對(duì)開(kāi)源代碼的依賴(lài)，也是造成安全隱患的成因。ESG調(diào)查顯示，僅有48%受訪企業(yè)，表示正在利用工具來(lái)監(jiān)控相關(guān)開(kāi)源項(xiàng)目的健康狀況。

鑒于如今大部分在線流量均基于API，Akamai觀察到的Web攻擊幾乎毫無(wú)意外地都是針對(duì)擁有面向公眾的應(yīng)用程序和服務(wù)的企業(yè)。Akamai分析Veracode共享的數(shù)據(jù)后發(fā)現(xiàn)，所測(cè)試的許多Spring Boot應(yīng)用程序都很容易受到SQLi和XSS攻擊，Web應(yīng)用程序和API的攻擊存在大量重疊。

如圖所示：SQLi仍然是主要的Web攻擊媒介

攻擊者企圖利用應(yīng)用程序和API來(lái)訪問(wèn)敏感或受保護(hù)的信息

加持API安全性多維深度防護(hù)

若想確保應(yīng)用程序安全與開(kāi)發(fā)進(jìn)度，企業(yè)需要平衡各種特性、功能和業(yè)務(wù)需求。對(duì)此，開(kāi)發(fā)團(tuán)隊(duì)在應(yīng)用程序開(kāi)發(fā)和API部署方面，進(jìn)行持續(xù)培訓(xùn)才能滿(mǎn)足安全性方面的期望。為此，Akamai與多位專(zhuān)家進(jìn)行交談，梳理出了以下防御策略：

應(yīng)對(duì)API安全隱患，Akamai基于自身多年數(shù)字化安全防護(hù)經(jīng)驗(yàn)，打造應(yīng)用程序和API保護(hù)解決方案，可通過(guò)App&API Protector,Edge DNS,Managed Security Service等技術(shù)服務(wù)，對(duì)企業(yè)應(yīng)用API進(jìn)行一站式加固防護(hù)，并實(shí)現(xiàn)全方位安全管理、監(jiān)測(cè)和抵御，助力全行業(yè)客戶(hù)提升API安全防護(hù)水準(zhǔn)。

當(dāng)前，API使用量和相關(guān)攻擊數(shù)量依然呈指數(shù)級(jí)增長(zhǎng)。