API攻擊防護(hù)：為賬戶接管（ATO）攻擊做好準(zhǔn)備

在不斷變化的威脅環(huán)境中，網(wǎng)絡(luò)犯罪分子將API作為其進(jìn)行賬戶接管（ATO）攻擊的新利器，因?yàn)锳PI可以直接訪問(wèn)有價(jià)值的資源和功能。API威脅已發(fā)展成為一個(gè)嚴(yán)重的問(wèn)題，OWASP不久前發(fā)布了他們的2023年十大API安全風(fēng)險(xiǎn)清單，來(lái)幫助企業(yè)判斷需要重視的領(lǐng)域。

犯罪分子已將API視為ATO攻擊的入手處：惡意Bot攻擊，包括撞庫(kù)攻擊和濫用業(yè)務(wù)邏輯漏洞，甚至是DDoS攻擊，這通常導(dǎo)致應(yīng)用停機(jī)、身份盜竊和欺詐。這些攻擊比以往更容易通過(guò)現(xiàn)有工具進(jìn)行編排，且難以被傳統(tǒng)的Bot防御技術(shù)檢測(cè)出來(lái)。

F5首席技術(shù)官辦公室預(yù)計(jì)，未來(lái)幾年內(nèi)，API數(shù)量將呈指數(shù)增長(zhǎng)。到2030年，API數(shù)量可能從5億增加到超過(guò)15億。不幸的是，這對(duì)于不斷追求擴(kuò)大目標(biāo)的網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)是個(gè)好消息。

API蔓延導(dǎo)致盲點(diǎn)和漏洞的產(chǎn)生

1.開(kāi)放式設(shè)計(jì)和可預(yù)測(cè)的結(jié)構(gòu)創(chuàng)造了許多易受攻擊的入口。

開(kāi)發(fā)人員傾向于構(gòu)建靈活的API，具有可預(yù)測(cè)的結(jié)構(gòu)，符合邏輯架構(gòu)（例如REST），這使得犯罪分子能夠輕松探測(cè)可能已經(jīng)暴露的附加數(shù)據(jù)。

2.跨部門(mén)的可視化降低，觀察API活動(dòng)困難，尤其當(dāng)您不知道API的存在時(shí)。

API通常在SecOps團(tuán)隊(duì)了解之前就已經(jīng)發(fā)布，從而創(chuàng)建了一個(gè)陰影或僵尸API生態(tài)系統(tǒng)，并缺乏對(duì)API流量的端到端可視化。

3.增加的復(fù)雜性會(huì)產(chǎn)生未受管理和不安全的API，從而增加攻擊面。

分布式環(huán)境和服務(wù)的增多使得持續(xù)發(fā)現(xiàn)、管理和監(jiān)視所有API變得具有挑戰(zhàn)性，從而導(dǎo)致威脅數(shù)量的增加，提高了安全和隱私事件的脆弱性。

現(xiàn)有的安全控制可能無(wú)法保護(hù)API免受ATO攻擊

現(xiàn)代惡意Bot攻擊不斷進(jìn)化，導(dǎo)致傳統(tǒng)的Bot防御工具在維持效力方面失效。對(duì)于API來(lái)說(shuō)，這個(gè)問(wèn)題可能會(huì)變得更加嚴(yán)重，因?yàn)锽ot攻擊被用于以各種新的和不同的方式來(lái)攻擊API，從自動(dòng)化的探測(cè)掃描到操縱資源和業(yè)務(wù)邏輯漏洞，以及進(jìn)行撞庫(kù)攻擊和注入攻擊。

API撞庫(kù)攻擊是解釋為什么傳統(tǒng)的Bot防御策略會(huì)讓您暴露的一個(gè)很好的例子。一些API在提交用戶名和密碼后會(huì)提供身份驗(yàn)證令牌，類似于登錄網(wǎng)站。該令牌通常用于對(duì)API發(fā)出的所有其他請(qǐng)求。這是API中常見(jiàn)的模式，特別是較舊的API，它容易受到撞庫(kù)和密碼噴灑攻擊的攻擊。

區(qū)分攻擊者和真實(shí)客戶很難，因?yàn)檫@些有針對(duì)性的手段可以繞過(guò)大多數(shù)傳統(tǒng)的控制。傳統(tǒng)的安全控制，如基本的Web應(yīng)用防火墻（WAF）和安全信息和事件管理（SIEM）系統(tǒng)，不足以識(shí)別和防御針對(duì)API的Bot攻擊，部分原因是由于大量的機(jī)器對(duì)機(jī)器，或API對(duì)API的流量。攻擊在表面上可以看起來(lái)像正常的應(yīng)用行為，但在幕后，API可能會(huì)被利用和濫用，使攻擊者能夠逃脫檢測(cè)。

為防御ATO攻擊而實(shí)施成功的API安全策略，需要多方警惕

API安全是整個(gè)企業(yè)共同的責(zé)任，需要關(guān)注會(huì)導(dǎo)致數(shù)據(jù)泄露的Bot攻擊，以及影響傳統(tǒng)Web應(yīng)用和現(xiàn)代API架構(gòu)的針對(duì)可用性和可靠性的攻擊。

在涉及API安全和通過(guò)API進(jìn)行未經(jīng)授權(quán)訪問(wèn)的保護(hù)方面，無(wú)論是通過(guò)撞庫(kù)攻擊、暴力破解還是其他強(qiáng)制性登錄嘗試機(jī)制，先進(jìn)的人工智能/機(jī)器學(xué)習(xí)可以通過(guò)識(shí)別登錄失敗嘗試活動(dòng)或嘗試發(fā)現(xiàn)API參數(shù)，并為運(yùn)營(yíng)團(tuán)隊(duì)標(biāo)記這些嘗試，供其審核。

在2022年的《應(yīng)用策略報(bào)告》中，有68％的受訪者將身份驗(yàn)證和授權(quán)視為API安全中最有價(jià)值的組件，緊隨其后的是行為分析和異常檢測(cè)，以監(jiān)控生產(chǎn)（運(yùn)行時(shí)）中的API。

企業(yè)應(yīng)加強(qiáng)其API安全，包括驗(yàn)證連接和訪問(wèn)權(quán)限，監(jiān)控并警報(bào)長(zhǎng)期行為，幫助識(shí)別異?？蛻粜袨?，以確定潛在的威脅。

1.持續(xù)監(jiān)控和保護(hù)API端點(diǎn)，以識(shí)別應(yīng)用集成的變化，檢測(cè)脆弱組件，并通過(guò)第三方集成來(lái)減輕攻擊。

2.實(shí)施與CI/CD流水線集成的主動(dòng)安全模型，并支持OpenAPI和Swagger接口規(guī)范，以便輕松驗(yàn)證模式，執(zhí)行協(xié)議合規(guī)性，自動(dòng)基線正常流量模式，并檢測(cè)異常行為。

3.采納零信任和以風(fēng)險(xiǎn)為基礎(chǔ)的安全策略，通過(guò)采用最低特權(quán)訪問(wèn)原則，檢查有效載荷，防止未經(jīng)授權(quán)的數(shù)據(jù)暴露，并為對(duì)象和功能實(shí)施訪問(wèn)控制和基于風(fēng)險(xiǎn)的身份驗(yàn)證。這應(yīng)包括收集情報(bào)并建立與您的API相關(guān)的Bot正常行為基線。通過(guò)利用行為和模式分析、工作流驗(yàn)證和指紋識(shí)別，您可以區(qū)分人類、“好”的Bot和惡意Bot活動(dòng)。

4.在不斷變化的應(yīng)用生命周期中采取措施，防止跨異構(gòu)環(huán)境的安全配置錯(cuò)誤，減輕濫用行為，并在云和架構(gòu)之間始終保持一致威脅管理。持續(xù)掃描、測(cè)試和監(jiān)視您的API，以發(fā)現(xiàn)配置錯(cuò)誤、漏洞和業(yè)務(wù)邏輯缺陷。

我們推薦您使用“保護(hù)API和第三方集成安全”，讓貴企反應(yīng)迅速，識(shí)別API環(huán)境中的潛在問(wèn)題，深入調(diào)查，并根據(jù)需要采取行動(dòng)，來(lái)消除可能影響連接性、可用性或應(yīng)用和API安全性的任何異?；蛲{。

圖片

掃描二維碼

解更多關(guān)于API安全的信息

圖片

參考資料：

https://www.f5.com/content/dam/f5/corp/global/pdf/ebooks/api-security-best-practices.pdf

https://cloud.google.com/resources/api-security-research-report

https://www.f5.com/pdf/white-paper/f5-distributed-cloud-waap-with-comprehensive-api-security-white-paper.pdf

https://www.f5.com.cn/go/ebook/mastering-api-architecture-oreilly