在數(shù)字時(shí)代的新型基礎(chǔ)設(shè)施中���,作為連接服務(wù)和傳輸數(shù)據(jù)的重要通道,API已成為企業(yè)安防的重點(diǎn)區(qū)域以及黑客發(fā)起攻擊的聚焦點(diǎn)���。
在數(shù)字時(shí)代的新型基礎(chǔ)設(shè)施中��,作為連接服務(wù)和傳輸數(shù)據(jù)的重要通道����,API已成為企業(yè)安防的重點(diǎn)區(qū)域以及黑客發(fā)起攻擊的聚焦點(diǎn)�。近期,Akamai發(fā)布互聯(lián)網(wǎng)現(xiàn)狀報(bào)告《潛伏在陰影之中:攻擊趨勢(shì)揭示了API威脅》���。研究發(fā)現(xiàn)��,去年全球高達(dá)29%的Web攻擊都是針對(duì)API發(fā)起的。
針對(duì)業(yè)務(wù)邏輯的API攻擊
從全球受威脅的垂直行業(yè)分布來看,商務(wù)行業(yè)以及電商����、金融、制造業(yè)等領(lǐng)域����,均成為API攻擊的“重災(zāi)區(qū)”。Akamai北亞區(qū)技術(shù)總監(jiān)劉燁先生����,分析原因時(shí)指出,此類行業(yè)與上下游伙伴的業(yè)務(wù)交互大多依靠API調(diào)用��。
OWASP API Top10安全隱患顯示�����,API攻擊大多與業(yè)務(wù)邏輯相關(guān)��,攻擊者通過找到API交互過程中的業(yè)務(wù)邏輯漏洞���,來發(fā)起攻擊會(huì)造成巨大影響�。在金融行業(yè)的安全事件中���,若API交互比較復(fù)雜�����,存在攻擊漏洞���,可能會(huì)造成資金賬戶信息泄露���。
攻擊手段上,API攻擊者大多針對(duì)HTTP協(xié)議本身的漏洞發(fā)起攻擊����,以及Active Session、數(shù)據(jù)挖掘�、本地文件包含的攻擊形式。多樣化API攻擊方式��,也致使企業(yè)的防護(hù)難度不斷升級(jí)�。整體來看,安全問題逐漸從基礎(chǔ)層面轉(zhuǎn)向業(yè)務(wù)邏輯漏洞�,會(huì)繞過現(xiàn)有的安全防護(hù),直接竊取更重要的核心資產(chǎn)���。
全方位守護(hù)企業(yè)API資產(chǎn)
黑客所向���,企業(yè)所防����。針對(duì)以業(yè)務(wù)邏輯為突破口的API攻擊�����,劉燁先生表示企業(yè)應(yīng)該重點(diǎn)關(guān)注可視性���、漏洞風(fēng)險(xiǎn)和業(yè)務(wù)邏輯。首先���,確保安全人員了解所有API接口目的和用途����;其次�����,開發(fā)過程中要遵循最佳實(shí)踐���、減少漏洞存在并及時(shí)補(bǔ)救�;最后,關(guān)注業(yè)務(wù)邏輯基線����,審視、判斷異常業(yè)務(wù)活動(dòng)��。
在產(chǎn)品布局方面��,Akamai通過收購(gòu)Neosec公司�����,并將其產(chǎn)品升級(jí)為Akamai API Security解決方案�����,支持企業(yè)全面掌握API資產(chǎn)狀態(tài)��,針對(duì)每個(gè)API進(jìn)行風(fēng)險(xiǎn)審計(jì)�����,通過執(zhí)行行為分析檢測(cè)風(fēng)險(xiǎn)威脅�,為用戶提供強(qiáng)有力的API安全保障。整合安全資源方面,Akamai也在積極拓展規(guī)模�,預(yù)計(jì)將于2024年第二季度完成對(duì)知名API安全防護(hù)供應(yīng)商N(yùn)oname的收購(gòu),以滿足業(yè)界日益增長(zhǎng)的API防護(hù)需求��。
面臨企業(yè)API使用量與黑客攻擊體量的急劇增加��,Akamai建議不同行業(yè)的企業(yè)組織���,優(yōu)先考慮和保護(hù)API核心資產(chǎn)安全,防范潛在的攻擊風(fēng)險(xiǎn)���。Akamai API Security助力防范業(yè)務(wù)邏輯漏洞之外�����,Akamai還提供ShadowHunt服務(wù)�����,主動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn)和潛在攻擊者���,為用戶提供全面、深入的安全防護(hù)��。
立即登錄���,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
