安全資訊

在數字化時(shí)代，幾乎所有的企業(yè)都需要依賴(lài)大量API進(jìn)行服務(wù)連接、數據傳輸和系統控制，在此背景下，確保各類(lèi)API的安全應用也變得越來(lái)越重要。然而，有很多企業(yè)還沒(méi)有對API應用存在的安全威脅給予足夠重視，這也導致了API安全狀況與企業(yè)的實(shí)際需要之間存在了很大差距。

API安全挑戰

當前，企業(yè)在API應用中面臨的安全挑戰主要包括以下方面：

01、擴大企業(yè)攻擊面

隨著(zhù)云計算技術(shù)的廣泛應用，越來(lái)越多的Saas化業(yè)務(wù)系統和服務(wù)被遷移上云，在為更多用戶(hù)提供服務(wù)的同時(shí)，也將大量API暴露到云中，相對于傳統數據中心的單點(diǎn)式調用，云上的東西向和南北向訪(fǎng)問(wèn)都可能成為威脅API安全的攻擊面。

02、忽視API安全能力構建

敏捷開(kāi)發(fā)模式是當今主流開(kāi)發(fā)模式，敏捷開(kāi)發(fā)強調個(gè)體和互動(dòng)、工作的軟件、客戶(hù)合作、響應變化，雖然提升了創(chuàng )新速度和靈活性，但是對于如何構建API安全性卻缺少合適的方法，導致在軟件構建過(guò)程中難以顧及API安全。

03、API蔓延

API是由程序員編寫(xiě)，因此除了API應用的開(kāi)發(fā)者，很少有人會(huì )意識到這些API的存在，這使得大量的API缺少維護，并經(jīng)常容易被忽略。當組織缺乏適當的API可見(jiàn)性、治理機制和生命周期策略時(shí)，僵尸、影子和幽靈等可怕的API威脅就會(huì )出現，并給企業(yè)業(yè)務(wù)開(kāi)展造成損害。

04、低估API安全風(fēng)險

一些企業(yè)會(huì )假設軟件系統都應該按照設計中的流程運行，從而導致API被攻擊的可能性以及其后果被嚴重低估，因此未采取充分的防護措施。此外，第三方合作伙伴系統的API，也容易被組織所忽視。

傳統安全工具的不足

由于API在設計架構上的特殊性，它們無(wú)法通過(guò)傳統的應用安全工具進(jìn)行有效的保護，比如API應用網(wǎng)關(guān)、日志分析和WAF等。據最新的API安全研究數據顯示，77%的受訪(fǎng)者表示，傳統的安全工具難以滿(mǎn)足其API安全防護需求，主要原因包括：

01、缺乏API特有的功能

傳統安全工具主要是為保護傳統業(yè)務(wù)應用程序和網(wǎng)絡(luò )基礎設施而設計的，缺乏解決API特有漏洞所需的具體功能，比如無(wú)效的對象級授權（BOLA）、輸入驗證不充分或訪(fǎng)問(wèn)速率限制不足。

02、復雜的API生態(tài)

現代應用程序常常包含來(lái)自不同提供商的大量API。這種生態(tài)的復雜性使得傳統安全工具難以全面準確地監控API流量和檢測可疑活動(dòng)。

03、可見(jiàn)性有限

傳統安全工具無(wú)法提供檢測特定API攻擊（比如撞庫攻擊和蠻力破解）所需的可見(jiàn)性，因為這類(lèi)攻擊往往會(huì )發(fā)生在多個(gè)API之間，需要實(shí)現細粒度的API級可見(jiàn)性。

04、身份驗證不到位

很多企業(yè)中存在大量歷史遺留應用程序，因此，使用API而不進(jìn)行身份驗證是目前很常見(jiàn)的現象。這些未經(jīng)身份驗證的API一旦公開(kāi)暴露，就會(huì )對企業(yè)的應用系統安全構成威脅。API需要提供比傳統安全工具更高級的身份驗證和授權機制，比如基于令牌的驗證和授權。

05、動(dòng)態(tài)變化的環(huán)境

API是在高度動(dòng)態(tài)變化的環(huán)境中運行，需要不斷部署新的API，并經(jīng)常更新現有的API。傳統安全工具難以跟上快速的變化，從而導致在A(yíng)PI安全控制方面出現缺口，可能被人利用。

新一代API防護技術(shù)

保障API應用安全并不僅僅是修復幾個(gè)安全漏洞的問(wèn)題，它需要安全團隊的全面關(guān)注，并從更廣泛的角度解決API應用安全缺口。日前，F5公司安全與反欺詐架構師Joshua Goldfarb 總結了新一代API安全防護技術(shù)應該具備的10種能力，以幫助企業(yè)在選型API防護方案時(shí)提供參考。

01、API資產(chǎn)發(fā)現和可見(jiàn)性

在確保API安全之前，需要先識別它并了解它。出于種種原因，一些API會(huì )在企業(yè)IT或安全團隊不知情的情況下創(chuàng )建并使用，這些API并未納入到資產(chǎn)管理對象中，也不受安全和合規策略及控制措施的制約。因此，API可見(jiàn)性和發(fā)現性是確保API安全的第一步，也是新一代API安全技術(shù)必須要具備的功能。

02、輸出模式驗證

試圖通過(guò)使用無(wú)效或不當的輸入來(lái)誘導API錯誤輸出是攻擊者經(jīng)常采用的一種技術(shù)。因此，確保API行為的有效性和正確性是實(shí)現整體API安全方法的重要部分。要求所有API請求和響應遵守模式和所有規范是保護這些API免受攻擊和破壞的重要步驟。這將對實(shí)現API安全應用有很大幫助。

03、安全策略執行

企業(yè)都會(huì )制定相應的API安全策略，但如果沒(méi)有嚴格執行，這些策略將變得沒(méi)有意義。保證企業(yè)的API安全策略（速率限制、IP信譽(yù)和允許/拒絕列表等）能夠得到有效的執行，是對新一代API安全技術(shù)的最基本要求之一。

04、保護敏感數據

API的主要安全漏洞之一就是泄露敏感數據。因此，保護敏感數據應該是任何API安全解決方案的一部分。要保護敏感數據安全，需要確保API被正確設計和保護，還需要驗證敏感數據沒(méi)有在不恰當地傳輸或泄露。

05、濫用和DoS防護

當人們想到防范服務(wù)濫用或拒絕服務(wù)（DoS）攻擊時(shí)，首先會(huì )想到OSI模型的第3層和第4層，而API所在的應用層（第7層）卻經(jīng)常會(huì )被遺忘。攻擊者們也注意到了這點(diǎn)，隨時(shí)準備針對應用層的攻擊，因而新一代API技術(shù)防范濫用和DoS功能的能力必不可少。

06、全面地攻擊防護

攻擊者在不斷尋找破壞和惡意利用API的方法。新一代API安全解決方案將包括基于特征、基于異常和基于A(yíng)I的攻擊保護機制，以防范各種各樣的新型攻擊。

07、訪(fǎng)問(wèn)控制

不適當的訪(fǎng)問(wèn)控制（包括身份驗證和授權）一直都是困擾API安全應用的主要問(wèn)題之一。無(wú)論是由于疏忽、人為錯誤、主觀(guān)惡意還是其他任何原因，對API的訪(fǎng)問(wèn)控制不當都意味著(zhù)災難性后果。新一代API安全解決方案必須要能夠提供身份威脅發(fā)現服務(wù)、身份驗證服務(wù)和API訪(fǎng)問(wèn)控制服務(wù)。

08、惡意用戶(hù)檢測

通過(guò)機器學(xué)習可以分析出與API交互的客戶(hù)端行為是否存在異常，這有助于在安全攻擊實(shí)際發(fā)生前做好預防。作為整體API安全解決方案的一部分，檢測和阻止惡意用戶(hù)有助于更好保護API免受攻擊、破壞和泄密。

09、安全配置和管理

API的配置和管理不當導致了大量的安全威脅。因此，新一代API安全解決方案需要支持企業(yè)輕松部署和實(shí)施正確的安全模型，這有助于確保API不會(huì )被錯誤配置，避免人為API安全漏洞的產(chǎn)生。

10、行為分析

API訪(fǎng)問(wèn)行為分析應該是新一代API安全產(chǎn)品必備的安全能力。通過(guò)研究從應用程序的端點(diǎn)和API收集而來(lái)的各種日志，就能總結出各類(lèi)API應用請求路徑的行為，并生成一組行為安全性參照指標，比如請求大小、響應大小、數據延遲、請求率、錯誤率以及響應吞吐量。這是一個(gè)迭代過(guò)程，會(huì )隨時(shí)間的推移而持續更新，并不斷優(yōu)化