在過去十年中,API 部署呈爆炸式增長,但隨著這種流行,惡意行為者也開始關(guān)注。許多 API 安全事件已經(jīng)發(fā)生,尤其是數(shù)據(jù)泄露。這些事件提高了人們對(duì) API 漏洞的認(rèn)識(shí),但由于由 API 交互組成的大量 Web 流量,攻擊和違規(guī)行為仍在繼續(xù)發(fā)生。
許多組織保護(hù) API 流量的方式與保護(hù)其遺留應(yīng)用程序的方式相同。但是,通用應(yīng)用程序安全控制不足以保護(hù) API 事務(wù)。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須與應(yīng)用技術(shù)專家合作,建立并完善他們的 API 安全計(jì)劃,以應(yīng)對(duì)這種日益增長的威脅形勢。
可見性:環(huán)境中存在哪些 API?
許多 API 泄露事件都有一個(gè)共同點(diǎn):被泄露的組織直到為時(shí)已晚才知道他們的 API 不安全。API 安全的第一步是發(fā)現(xiàn)組織從第三方交付或使用的 API。
移動(dòng)和 Web 應(yīng)用程序是一個(gè)很好的起點(diǎn)。API 的另一個(gè)常見來源是應(yīng)用程序集成,它涉及集成產(chǎn)品用來提供對(duì)應(yīng)用程序或數(shù)據(jù)的訪問的 API。一些組織可能還有一個(gè)開放的 API 程序,包括開發(fā)人員門戶,并且必須保護(hù)這些公共 API。最后,考慮組織使用的任何第三方 API。
發(fā)現(xiàn)組織的 API 后,下一步是根據(jù)曝光度、業(yè)務(wù)環(huán)境和技術(shù)對(duì)它們進(jìn)行分類。然后,確定 API 的潛在漏洞。最常見的 API 漏洞路徑包括:
存儲(chǔ)庫和存儲(chǔ)中的不安全 API 密鑰:API 密鑰或其他密鑰,例如 SSH 密鑰或 SSL/TLS 私鑰,可能會(huì)在基于云的存儲(chǔ)或?qū)婇_放的代碼存儲(chǔ)庫中被發(fā)現(xiàn)。
應(yīng)用程序中的硬編碼 API 密鑰: API 密鑰或其他憑據(jù)可能在 Web 和移動(dòng)應(yīng)用程序中進(jìn)行硬編碼,并在物聯(lián)網(wǎng)設(shè)備或移動(dòng)應(yīng)用程序中受到反編譯攻擊。
API 邏輯缺陷:API 可能存在可被利用的錯(cuò)誤或其他邏輯缺陷。
嗅探 API 調(diào)用:可以通過中間人方法嗅探 API 流量,從而發(fā)現(xiàn) API 密鑰或不安全的 API。
訪問控制:誰在訪問 API,有什么訪問權(quán)限?
訪問控制是 API 安全的重要組成部分。它包含身份驗(yàn)證(驗(yàn)證主體身份的過程)和授權(quán)(確定主體是否有權(quán)訪問特定資源的過程)。
訪問控制功能中的漏洞通常是針對(duì) API 的最常見攻擊點(diǎn),會(huì)導(dǎo)致數(shù)據(jù)泄露、丟失和操縱。Web 應(yīng)用程序歷來使用基本身份驗(yàn)證(用戶名和密碼)來允許用戶訪問。當(dāng)組織開始部署 API 時(shí),通常會(huì)繼承這種機(jī)制。
成熟的組織使用現(xiàn)代 API 訪問控制機(jī)制。現(xiàn)代 API 訪問控制策略基于對(duì)組織用例的四個(gè)關(guān)鍵維度的評(píng)估:
身份功能:API 用例的身份功能是身份驗(yàn)證、授權(quán)和加密。身份結(jié)構(gòu),即需要協(xié)調(diào)在一起以解決身份需求的工具,根據(jù)組織范圍內(nèi)的身份功能而有所不同。
應(yīng)用程序:移動(dòng)應(yīng)用程序、內(nèi)部或外部服務(wù)、Web 應(yīng)用程序和設(shè)備都是訪問受保護(hù) API 的應(yīng)用程序示例。這些應(yīng)用程序通常由用戶或機(jī)器身份(例如服務(wù)帳戶)操作。不同的應(yīng)用程序在如何驗(yàn)證自己和操作它們的人類用戶方面具有不同的功能。
調(diào)解器:API 受調(diào)解器(如企業(yè)或內(nèi)部 API 網(wǎng)關(guān))以及更靈活的調(diào)解器(如部署在 API 附近的邊車)的保護(hù)。評(píng)估調(diào)解器的身份能力可確保 API 訪問策略包括調(diào)解器中的正確集成和執(zhí)行。它還使組織能夠評(píng)估訪問管理工具對(duì)所用中介的支持。
開發(fā)人員支持:開發(fā)人員支持確保開發(fā)人員可以發(fā)布和控制他們自己的 API,并控制他們?cè)谒麄兊?API 中需要哪些屬性。同時(shí),控制必須基于委托模型,在該模型中,中央團(tuán)隊(duì)控制總體策略。了解開發(fā)人員支持維度可確保該策略包括正確的工具支持,例如開發(fā)人員自助服務(wù)界面。
為確保進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估和分類,請(qǐng)使用這些維度來定義組織的 API 訪問控制要求。
威脅防護(hù):攻擊者如何利用API?
API 安全程序必須防范三種常見的攻擊模式:拒絕服務(wù)、濫用功能和漏洞利用。API 威脅保護(hù)由運(yùn)行時(shí)或外圍技術(shù)組成,可識(shí)別和防止屬于這三類的攻擊。
典型的威脅防護(hù)技術(shù)包括:
DDoS 保護(hù):能夠處理容量攻擊的解決方案包括內(nèi)容交付網(wǎng)絡(luò)或 CDN、基于云和設(shè)備的 Web 應(yīng)用程序防火墻或 WAF,以及云清洗中心或 CSC 平臺(tái)。對(duì)于應(yīng)用層 DoS 攻擊,具有 DoS 功能的硬件或基于云的 WAF 可能是合適的。一旦攻擊逐漸增加并開始淹沒網(wǎng)絡(luò)鏈接,就需要 CDN 或外部 CSC。
WAF:一種解決方案,通過過濾和監(jiān)控 HTTP 流量以阻止常見的漏洞利用攻擊,為 API 提供有限的保護(hù)。一些 WAF 還提供機(jī)器人緩解和應(yīng)用程序或第 7 層 DDoS 保護(hù)。
Bot 緩解:一種解決方案,可為多種類型的腳本攻擊提供高級(jí)保護(hù)。這些解決方案在這方面比一般的 WAF 更有能力,這使它們成為防止濫用的可能的首選或補(bǔ)充。
專門的 API 保護(hù):通過結(jié)合參數(shù)和有效負(fù)載的內(nèi)容檢查、流量管理和異常檢測的流量分析,提供針對(duì) API 攻擊和濫用的保護(hù)的解決方案。
這些技術(shù)共同構(gòu)成了 Web 應(yīng)用程序和 API 保護(hù)或 WAAP 解決方案。除了 WAAP 功能外,組織還經(jīng)常將 API 網(wǎng)關(guān)和管理系統(tǒng)添加到其基礎(chǔ)架構(gòu)中。
隨著 API 威脅態(tài)勢的增長,應(yīng)用程序安全領(lǐng)導(dǎo)者必須建立并完善他們的 API 安全計(jì)劃,以應(yīng)對(duì)這種日益增長的威脅態(tài)勢。這種方法可以幫助組織建立全面的 API 可見性計(jì)劃,設(shè)置機(jī)制來檢查 API 是否符合組織的身份驗(yàn)證和加密標(biāo)準(zhǔn),并為關(guān)鍵的面向外部的 API 部署專門的威脅防護(hù)。
