首頁 > 關于我們 > 新聞動態 > 深度解讀

RSAC2022 |深入解讀API安全如何破解困境

發布時間 2022-06-23
編者按:

在今年的RSAC中,以色列的API安全公司Neose入選創新十強,同樣在2019年獲得RASC創新十強的Salt Security,也是一家以API安全為主的公司。本文啟明星辰集團結合了自身豐富的經驗沉淀與實踐積累,為您深入解讀API安全,厘清API安全防護的解決之道。


API面對的安全問題


OWASP在2019年公布的 API TOP10風險分別是失效的對象授權、失效的用戶身份驗證、過度數據暴露、資源缺失和速率限制、失效的功能級授權、批量分配、安全配置錯誤、注入攻擊、資產管理不當、日志監控不足。針對這10類安全風險,列舉部分利用原理和使用示例:


失效的對象授權:對象授權是一種在代碼層面實現的訪問控制機制,用于限制用戶僅能訪問其有權訪問的對象,但入侵者可以通過改變ID來攻擊存在“失效的對象級授權”漏洞的API。例如,由于沒有完善的權限控制機制,入侵者可以在前后臺交互中,通過改變鏈接中的ID值來控制API返回不同的用戶數據,因存在水平越權問題從而造成敏感信息泄漏。


過度的數據暴露:API在對查詢進行響應的時候返回了過多的敏感信息。例如:某用戶名查詢接口,本應設計為只返回用戶名,但實際向接口發起數據查詢時卻將用戶所有信息均返回給客戶端,造成數據泄露。


資產管理不當:由于現代應用程序開發的交付周期較短,DevOps團隊經常將更多的API部署到生產環境中,這帶來了資產管理問題。首先,向后兼容的要求迫使DevOps團隊讓舊版本API繼續運行。攻擊者通常覬覦這些舊版本,鉆安全檢查機制的空子。同時,其他的API也可能未遵守數據治理政策,使其成為數據暴露的關鍵入口點。


API安全防護的解決之道


對比OWASP TOP 10和OWASP API TOP 10,發現這兩部分有較大的重合性,但是API業務的場景和架構更加復雜,所以Gartner針對API安全給出了一個參考建議:API安全可以由WAF和API網關兩部分構成。


微信圖片_20220623131808.png


API安全防護架構及分工


在API安全解決方案中,作為WAF企業來說,產品增強API安全防護可以從以下幾個方面來考慮:


1、API資產梳理和監控


發現API資產并進行逐一盤點和跟蹤,建立API清單并識別每個API的用途,同時對于內部API和外部API進行區別對待;基于盤點的API清單進行訪問策略的詳細配置,盡量避免不同的對象屬性,使用相同的API策略。


WAF產品上的API的資產管理,需要具備API協議的識別、API資產的自動發現、靈活的API資產分組、API資產的導入導出、API資產的下線處理、API資產訪問的策略配置、自動化的API資產管理接口等基礎能力。


2、API攻擊識別和防護


針對OWASP API TOP 10的安全風險,在WAF的API安全防護模塊的功能設計和實現上,需要具備API請求合法性校驗、防范撞庫和暴力破解、API的對象格式的限制、可定義允許的響應數據類型、針對相關標識具備修改、多種防注入攻擊、自定義檢測規則等能力。


在對API業務攻擊上,注入類入侵占據了很大的比率,對于注入累入侵的檢測可以通過特征檢測、算法檢測、AI檢測等技術手段,協同作用實現精準的注入類入侵檢測。


3、API異常訪問行為分析


行為特征提取是整個行為分析建模的基礎,需結合實際的業務需求,以數據實體為中心,規約數據維度類型和關聯關系,形成符合業務實際情況的建模體。


基于異常行為分析,能發現無明顯特征的攻擊行為,或者是針對業務的異常訪問,比如發現大量的數據傳輸、異常的訪問對象、被攻擊利用的過期API或者是僵尸API、過度暴露的數據等。


4、API訪問性能監控


API訪問性能監控能夠在出現大量API請求的情況下,保證API的服務能正常工與系統的韌性。


在API訪問性能監控中,一是需要能區分正常業務訪問和機器的訪問流量,對機器的訪問流量可以做過濾;二是處理正常訪問的時候,在某些特殊場景下需要做到請求限流、服務降級或者是有條件的服務熔斷等操作,以最大限度保證API業務不徹底癱瘓。


5、敏感數據識別和過濾


在API訪問中會傳輸大量的數據,數據的傳輸分為正常訪問和數據竊取等,對于正常的數據訪問,可以在數據分級分類的情況下,在API安全網關上實現對數據的脫敏和混淆等功能;對于數據竊取的情況下,需要識別異常的數據泄露,并阻斷異常訪問和連接。


API作為鏈接數據的一種便捷高效的方式,已經成為了IT和DT時代最重要的應用模式之一,其承載的數據擁有巨大的價值,也帶來多種商業模式蓬勃發展,引起了各種惡意組織和個人大量的關注。


隨著國內外的數據安全法規、行業和組織的API安全規范的頒布與實行,企業擴大對API安全的需求,業務開發團隊安全意識的提升,安全檢測技術和安全解決方案的快速發展和演進,都將為API鏈接的數據保駕護航,API安全防護能力將成為數據大廈的穩固基座之一。


小貼士:


API:是指應用程序接口(Application Program Interface),是一種程序之間的接口,因其便捷性和微服務架構,得到了廣泛的應用,目前已覆蓋了移動應用程序,物聯網IOT,云服務客戶端,內部應用程序,合作伙伴應用程序等IT領域的多個方面。


API安全:通過對API通信行為的采集、監控、防御等手段,發現并收斂API生產過程中的風險,攔截針對API的漏洞攻擊及數據竊取行為。


上一篇 下一篇