網(wǎng)絡(luò)安全實(shí)戰(zhàn)化攻防演練是檢驗(yàn)企業(yè)網(wǎng)絡(luò)安全建設(shè)效果的有效方式，攻防雙方在真實(shí)的網(wǎng)絡(luò)環(huán)境中開展對抗，更貼近實(shí)際情況，有利于發(fā)現(xiàn)企業(yè)真實(shí)存在的安全問題。盡管很多企業(yè)通過持續(xù)的攻防演練有效提升了安全防護(hù)能力，但隨著組織數(shù)字化進(jìn)程的加快以及業(yè)務(wù)的迅速發(fā)展，總有一些跟不上變化的風(fēng)險點(diǎn)出現(xiàn)。本文梳理總結(jié)了企業(yè)在實(shí)戰(zhàn)化攻防演練活動中容易忽略的API安全風(fēng)險，并給出相應(yīng)的防護(hù)策略建議。

知己：容易被忽視的攻擊風(fēng)險

從以往攻防演練活動的實(shí)際案例來看，各組織單位在攻擊面梳理過程中容易忽略的幾個關(guān)鍵點(diǎn)：

1.影子API

在資產(chǎn)梳理過程中，難免有些資產(chǎn)在安全視線之外，如有些API沒有經(jīng)過WAF或API網(wǎng)關(guān)，這些API可能是歷史遺留下來的僵尸API，由于缺乏安全防護(hù)容易被攻擊。

2.邏輯漏洞

傳統(tǒng)安全檢測產(chǎn)品很難發(fā)現(xiàn)未授權(quán)訪問、越權(quán)訪問、允許弱密碼、錯誤提示不合理、未禁用目錄瀏覽等邏輯漏洞（安全缺陷）。如，攻擊者利用未授權(quán)訪問、越權(quán)訪問漏洞，獲取到管理員賬號密碼等敏感數(shù)據(jù)，或者直接執(zhí)行高權(quán)限動作，進(jìn)而獲取到系統(tǒng)控制權(quán)。

3.涉敏流量

現(xiàn)有WAF、API網(wǎng)關(guān)等產(chǎn)品更多是對入站流量的檢測，缺乏對出站流量的檢測，出站流量中如果暴露了明文的敏感數(shù)據(jù)，可能會被攻擊者加以利用，比如獲取到內(nèi)部員工的郵箱后，發(fā)送釣魚郵件。

4.高危組件

承載API的后端組件可能存在安全隱患（比如沒有修復(fù)某個高危漏洞），同時這些組件因?yàn)锳PI對外提供業(yè)務(wù)而暴露在互聯(lián)網(wǎng)中，往往會成為攻擊者的攻擊目標(biāo)。

API是支撐線上應(yīng)用連接和數(shù)據(jù)傳輸?shù)年P(guān)鍵，承載著企業(yè)核心業(yè)務(wù)邏輯和大量敏感數(shù)據(jù)，在應(yīng)用環(huán)境中非常普遍。數(shù)字時代的今天，各行各業(yè)都有大量的API去支撐業(yè)務(wù)交互：

• 金融：各類銀行、證券的APP、小程序、第三方業(yè)務(wù)開放平臺等對外提供大量API接口用于客戶查詢或辦理業(yè)務(wù)，涉及手機(jī)號、銀行卡號、身份信息等敏感數(shù)據(jù)。

• 政務(wù)：市民卡、線上政務(wù)平臺等互聯(lián)網(wǎng)政務(wù)系統(tǒng)需要開放API接口在互聯(lián)網(wǎng)上，方便民生業(yè)務(wù)辦理，涉及的是公民居住證、學(xué)歷信息、身份證號等個人隱私數(shù)據(jù)。

• 醫(yī)療：受到新冠疫情影響，在線醫(yī)療已經(jīng)成為人們?nèi)粘Ｉ畹囊徊糠郑罅康臋z測報告查詢APP、小程序以及與疫情相關(guān)的在線業(yè)務(wù)蓬勃發(fā)展，相關(guān)數(shù)據(jù)信息需要通過API進(jìn)行調(diào)取。

• 互聯(lián)網(wǎng)：基于不同互聯(lián)網(wǎng)行業(yè)的實(shí)際業(yè)務(wù)場景，會開放大量的業(yè)務(wù)API接口給到第三方合作伙伴、第三方用戶等等。

這些承載著大量高價值數(shù)據(jù)的API是網(wǎng)絡(luò)黑客關(guān)注的重點(diǎn)，自然也是攻擊方眼中的“香餑餑”。

2021年，我們看到有多個API漏洞在攻防演練活動被利用和發(fā)現(xiàn)，主要包括：

這些API漏洞是如何被攻擊方利用的呢？

知彼：攻擊方常見的攻擊“套路”

基于過往實(shí)戰(zhàn)案例，攻擊方針對API的常見攻擊手法有以下幾種：

1 暴力破解/撞庫攻擊

攻擊方通過掃描發(fā)現(xiàn)管理后臺登錄頁面，并針對登錄接口進(jìn)行撞庫或暴力破解，獲取到賬號密碼后直接登錄后臺，或者利用獲取的郵箱、手機(jī)號等信息進(jìn)行釣魚、社工等攻擊，直至進(jìn)入到企業(yè)內(nèi)網(wǎng)獲取更多的權(quán)限。

2 危險路徑掃描

某些后端組件由于默認(rèn)配置或錯誤配置，導(dǎo)致向互聯(lián)網(wǎng)暴露了一些不必要的API，其中有些API可執(zhí)行高權(quán)限操作或獲取敏感數(shù)據(jù)，而攻擊者則可以通過路徑掃描，定位到這些API的路徑。

3 漏洞掃描

隨著業(yè)務(wù)的快速發(fā)展，API的迭代和發(fā)布周期也隨之加快，在“重業(yè)務(wù)、輕安全”理念驅(qū)使下，很多API在開發(fā)過程中就存在漏洞，攻擊者通過漏洞掃描器對站點(diǎn)發(fā)起掃描，以此發(fā)現(xiàn)存在漏洞的API，并發(fā)起攻擊。

應(yīng)對：從業(yè)務(wù)安全的實(shí)際需求出發(fā)

在了解了攻防演練中那些容易被忽略的API安全風(fēng)險點(diǎn)和攻擊方常見的攻擊套路后，各組織單位想要在攻防演練中更好應(yīng)對，還需要從自身業(yè)務(wù)安全出發(fā)，制定相應(yīng)的API安全管理策略。

永安在線研究認(rèn)為，各組織單位在網(wǎng)絡(luò)安全攻防演練中想要有效管理和保護(hù)API資產(chǎn)，可以從API資產(chǎn)梳理、缺陷評估、攻擊檢測三方面著手。

一是資產(chǎn)動態(tài)梳理

1. 通過自動化識別業(yè)務(wù)API調(diào)用關(guān)系，全面、持續(xù)清點(diǎn)API接口，包括影子API和僵尸API、老版本和功能重復(fù)的API，縮小風(fēng)險暴露面。

2. 持續(xù)監(jiān)測敏感數(shù)據(jù)流動，對各種敏感數(shù)據(jù)進(jìn)行識別，并對敏感數(shù)據(jù)進(jìn)行自定義檢測，減少數(shù)據(jù)暴露面。

3. 持續(xù)動態(tài)梳理系統(tǒng)訪問賬號，多維度記錄賬號訪問和操作行為，主動識別風(fēng)險動作，同時也為企業(yè)提供行為溯源能力。

二是缺陷持續(xù)評估

1. 全面、持續(xù)地評估API缺陷，要能夠監(jiān)測目前常見各類安全缺陷，并做到全面覆蓋OWASP API Top10安全問題。

2. 通過完整、清晰的缺陷樣例和自動化驗(yàn)證流程，幫助企業(yè)提升缺陷修復(fù)效率。

三是攻擊精準(zhǔn)感知

1. 基于情報構(gòu)建API行為基線，及時發(fā)現(xiàn)API攻擊、賬號異常、IP攻擊等風(fēng)險。

2.系統(tǒng)支持輸出多維度IOC異常標(biāo)識，聯(lián)動WAF、風(fēng)控等快速自動化阻斷。