Akamai云安全大咖精講版《鉆過安全漏洞》

確保Web應(yīng)用程序和API的安全，對于保護(hù)敏感數(shù)據(jù)、維持業(yè)務(wù)連續(xù)性和維系客戶信任至關(guān)重要。近期發(fā)布的Akamai《鉆過安全漏洞》主題互聯(lián)網(wǎng)現(xiàn)狀報(bào)告，聚焦于應(yīng)用程序和API攻擊上升趨勢，全景式分析了主流攻擊原理，以及企業(yè)防范要點(diǎn)。

予力企業(yè)強(qiáng)化防御，我們特別邀請到Akamai亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān)Reuben Koh先生，錄制了一期精講《鉆過安全漏洞》云安全內(nèi)容的專題視頻。

深度解讀看點(diǎn)①

創(chuàng)紀(jì)錄的攻擊趨勢與媒介

2022年，全球應(yīng)用程序和API攻擊數(shù)量創(chuàng)下新紀(jì)錄。Akamai安全團(tuán)隊(duì)監(jiān)測發(fā)現(xiàn)，與過去一年相比，攻擊總量增漲137%。本地文件包含（LFI）和服務(wù)器端請求偽造（SSRF）攻擊，已成為增長速度更快的攻擊媒介。

此外，針對公開API的授權(quán)和身份驗(yàn)證利用嘗試中，API攻擊數(shù)量出現(xiàn)了顯著增勢。在新一期OWASP API十大漏洞排名中，失效的對象級(jí)授權(quán)（BOLA）和失效的身份驗(yàn)證（BA），已登榜排名第一、二位的API風(fēng)險(xiǎn)，尤其值得高度警惕。

深度解讀看點(diǎn)②

安全事件頻發(fā)區(qū)域與行業(yè)

縱覽全球攻擊分布，備受攻擊侵?jǐn)_的亞太地區(qū)及日本（APJ），平均每天發(fā)生超過500萬次Web應(yīng)用程序攻擊。與去年相比，LFI攻擊增幅超過193%，遠(yuǎn)超SQL注入攻勢。

觀察APJ區(qū)域的行業(yè)賽道可見，金融和商業(yè)是網(wǎng)絡(luò)犯罪分子的重點(diǎn)攻擊目標(biāo)。僅在2022年，Akamai就曾目睹了30億次針對這兩個(gè)行業(yè)的Web應(yīng)用程序和API攻擊。

深度解讀看點(diǎn)③

2023年主流攻擊媒介原理

知“矛”來路，以“盾”加固。抵御API攻擊，了解主流攻擊媒介原理是企業(yè)布防的關(guān)鍵。視頻中，Reuben Koh先生結(jié)合Akamai觀察所得，翔實(shí)分析了今年三大猖獗攻擊媒介的具體原理。

三大猖獗攻擊媒介原理

·本地文件包含（LFI）

LFI涉及操縱Web應(yīng)用程序的輸入?yún)?shù)，以包含原本無法公開訪問的本地文件；LFI攻擊一旦得逞就會(huì)造成敏感信息泄露，導(dǎo)致跨站點(diǎn)腳本攻擊或遠(yuǎn)程代碼執(zhí)行，攻擊者還能借此入侵Web服務(wù)器實(shí)現(xiàn)未經(jīng)授權(quán)的訪問和數(shù)據(jù)操縱。

·服務(wù)器端請求偽造（SSRF）

SSRF涉及操縱存在漏洞的Web應(yīng)用程序，向內(nèi)/外部系統(tǒng)發(fā)出未經(jīng)授權(quán)的請求；通過利用存在漏洞的服務(wù)器，與另一臺(tái)服務(wù)器之間的信任關(guān)系，攻擊者可以繞過安全控制措施，訪問內(nèi)部網(wǎng)絡(luò)的資源，毀壞或竊取機(jī)密數(shù)據(jù)；SSRF攻擊還可用于連結(jié)其他攻擊，如跨站點(diǎn)請求偽造（CSRF）和遠(yuǎn)程代碼執(zhí)行。

·失效的對象級(jí)授權(quán)（BOLA）

在現(xiàn)代REST API中，BOLA被利用的頻次最高；它會(huì)在某個(gè)應(yīng)用程序無法對特定資源或?qū)ο髮?shí)施正確的訪問控制時(shí)發(fā)生，支持攻擊者訪問或修改原本無權(quán)訪問的敏感數(shù)據(jù)和資源。跨越授權(quán)限制的攻擊者，進(jìn)一步可能發(fā)起帳戶接管攻擊和進(jìn)行API功能濫用。

深度解讀看點(diǎn)④

如何尋找安全“合伙人”

在攻與防的邊界線兩端，攻擊者一方日漸組織化、規(guī)模化，如RaaS（勒索軟件即服務(wù)）團(tuán)伙的開枝散葉、泛濫蔓延；在此趨勢下，勢單力薄的企業(yè)安全團(tuán)隊(duì)還何必自建壁壘、孤軍作戰(zhàn)呢？當(dāng)下，在Web應(yīng)用程序和API安全防御時(shí)，探尋到合適的合作伙伴，對于IT和業(yè)務(wù)負(fù)責(zé)人更有幫助。

考慮到亞太地區(qū)是中國出海企業(yè)的大本營與重要出海市場，應(yīng)對Web應(yīng)用程序和API攻擊威脅，Akamai強(qiáng)烈建議企業(yè)部署現(xiàn)代化Akamai App&API Protector WAAP解決方案，并使用Akamai Guardicore Segmentation微分段解決方案在內(nèi)網(wǎng)設(shè)置安全圍欄、阻截橫向移動(dòng)，并定期進(jìn)行紅隊(duì)演習(xí)，在企業(yè)的薄弱環(huán)節(jié)及時(shí)更新安全補(bǔ)丁、修復(fù)漏洞。