每一天,数亿个API被各大网站、APP频繁调用,构建出一个高度开放和效率的互联网世界。然而,人们习以为常的API,却逐渐成为不法黑客进行攻击的对象。目前,全球的API数量仍在呈爆发式增长,API安全应引起人们足够的重视。
API攻击带来的大规模用户数据泄露悲剧,已经在全球多个互联网巨头身上重演。
今年3月底,新浪微博因用户查询接口被恶意调用,导致5.38亿微博用户数据泄露,其中1.72亿有账号基本信息,被公开在网上售卖。
当月,Facebook被漏洞赏金猎人Amol Baikar曝出其OAuth框架权限绕过的API漏洞,并因此获取赏金$55,000美元。
而这并不是Facebook第一次发现自身存在的API漏洞。2018年10月,Facebook因API漏洞,使得5000多万个用户信息被公开。
2019年12月,Facebook因API安全漏洞,使黑客在访问受限的情况下也能访问用户的ID和电话号码,从而导致2.67亿个用户的隐私数据被非法售卖。
众所周知,API并不是一个新事物,经过多年的发展,其相关的技术和协议已相当成熟。然而,为什么连Facebook这种首屈一指的大玩家,都没能幸免API安全问题?
传统防护体系之外的API安全
从API的发展历史看,API技术的发展加速了API的广泛使用,而API的广泛使用又促进API技术的发展。
在国外,继Facebook的开放平台获得成功之后,微软、google相继推出了自己的开放平台战略。在国内,头部的互联网公司也开放了自己的API平台,典型的有微博、百度、腾讯等。
在巨头的推动下,API开放已成为互联网的标配。据百度地图公开数据显示,截止2019年12月10日,其位置服务请求次数突破1200亿次。在中国移动的物联网开放平台OneNET上,日均API调用超过2亿次。
可以看到,如今在互联网、移动互联网、物联网上,API的数量和调用次数都颇为惊人。
从企业使用API的情况看,据消费研究公司One Poll一项调查表明,企业平均管理着363个API,其中69%的公司会向公众及其合作伙伴开放这些API。
虽然企业还在不停地增加API的使用,然而大多数企业并不清楚自己拥有多少个API,也不知道API处于什么状态,这就给黑客带来了更多的入侵机会。有数据表明,2014年全球网络攻击流量有40%来自API,而到了2018年已经飙升到83%。
绿盟科技专家在接受科技云报道采访时表示,API安全问题频发的主要原因,在于API资产数量多、管理难,清点API资产容易出现遗漏。可以说,API安全最难落地的一步恰恰是第一步,即API资产梳理。如果能彻底做好这一步,后面的安全能力建设就会顺畅很多。
同时,由于API 处于传统网络安全防御体系的覆盖之外,API安全问题没有受到足够的重视,针对API的攻击成本也就更低。
除此之外,如果企业公开了不该暴露的API,没有做好最小化信息反馈,认证鉴权机制不够完善甚至缺失,均会导致严重的API安全隐患。
应对API攻击的整合安全能力
针对企业在API使用和管理上的疏漏,绿盟科技专家表示,API攻击一般会通过以下4种方式:
- 未授权访问
业务场景复杂、迭代升级频繁,API权限控制较难做到万无一失。API业务逻辑漏洞难以在测试时被发现,一旦某个接口权限控制出现问题,未授权访问带来的后果难以预料。
从Facebook频发的API安全事件看,其漏洞正是在于失效的用户身份认证。
- 参数的非法篡改
对API参数进行非法篡改和拼接,是目前API攻击中的主流。各类试探性攻击也通常采用此方式发起攻击。一旦服务端参数校验存在逻辑漏洞,API参数篡改很容易带来数据泄露、数字资产损失甚至真实的金融风险。
- 接口滥用
国际调研机构Gartner曾指出,2022年,API滥用将成为最常见的攻击方式之一。短信、电邮等API接口被滥用,不仅给服务提供商带来了经济损失,同时影响了正常用户的业务办理。
- DDoS攻击
对未限流的API发起DDoS攻击,消耗服务器资源或带宽资源,使部分业务瘫痪,是最粗暴血腥的攻击方式之一。
可以看到,API攻击利用了多种安全漏洞。对此,派拉软件专家指出,API安全涉及API资产管理、身份认证、API鉴权、数据安全等多种安全防护领域,包含了从DMZ区到APP区的整个过程的安全防护以及防止敏感信息泄露。
因此,业界关于API安全的解决方案,主要思路是利用API网关形态的产品,从传输层加密、API资产的集中全生命周期的管理、最小化授权、对应用和用户身份进行认证等角度,整合API管理的通用能力。
另外,及时发现和阻止API的滥用、数据加密、防重放攻击等也是广受关注的API安全思路。
API网关产品如何解API之痛?
目前,由于API安全的市场意识还不够,许多企业仅仅将API管理网关视为临时解决方案。针对API的安全管控也没有太多成熟的产品和方案,只有一些WAF厂商提供基本的API安全功能,如:Akamai、Imperva在WAF防护能力中提出API的安全防护,以及Kong、NGINX、WSO2这样小而美的解决方案。
在国内,这一情况正在被专业安全厂商改善,绿盟科技、派拉软件、瑞数信息等安全厂商相继推出了针对API的安全解决方案,在不同的业务场景下各有侧重。
绿盟科技的API安全防护方案由多款产品组成,能力涉及抗DDoS、Web应用安全防护、身份认证、访问控制等多个维度。这其中最核心的是SAG(绿盟API安全网关)、UIP(绿盟统一身份认证平台)、BMG(绿盟业务安全网关)三款产品。
SAG 和 UIP可为企业提供API资产的全生命周期管理能力。通过统一代理、统一认证、精细化的流控等手段,实现API访问控制的最小化授权。
BMG 则侧重API安全防护,如在客户端实现流量加密,不仅可有效防止参数的非法篡改,还能在一定程度保障敏感数据交互的安全。此外,全面、细粒度的日志审计能力,也是非常有必要的。
派拉软件的方案则是以API网关为重点,并配合API管理平台和API门户,对API进行全生命周期的管控,是融合了微服务网关和企业级应用网关的一体化解决方案,包含WAF动态安全防护、安全认证、加解密、加验签、限流、API鉴权等多种安全功能。
那么,在实际的业务场景中,这些API安全方案该如何应用呢?
以某银行机构为例,由于该银行未对API做统一管理,当某个敏捷项目上线时,版本快速迭代,较多API资产对外暴露,导致了一些API安全风险,如:部分API未授权访问、未做参数校验等。
考虑到银行机构一般都部署了NF、WAF、ADS等安全产品,因此针对这类API安全隐患,需重点补充API资产管理、访问控制以及安全防护能力,这是绿盟科技的API安全网关、统一身份认证平台和业务安全网关这三款产品能够对应提供的。
例如,绿盟API安全网关,能够统一管理企业对外API接口,实现TLS/国密加密会话,并将API调用的最小化授权、细粒度流控、日志审计等通用安全能力整合起来,加强API安全的同时提高安全运维效率。特别对金融机构,当发现异常接口调用时,可第一时间暂停服务调用,熔断降级(如拒绝交易等)。
再看某城商行联盟机构,其API门户为联盟下的40多家银行和券商机构提供统一的API服务,无论是内部应用还是外部第三方的应用,API调用频繁,且涉及多方角色、多种业务,因此针对API门户进行API网关建设尤为重要。
对此,派拉软件的API网关方案从身份认证、安全防护、数据安全三个方面出发,满足企业在安全防护、安全认证、进入控制、API鉴权、合规性审查等方面的需求,从而实现API细粒度的防护。
例如:当不可控的外部调用API时,通过限流、熔断、降权等多种策略对后端服务进行保护。涉及API非法调用时,可采用Token、OAuth等多种API鉴权方式。当通过API进行应用登陆时,则根据不同的业务级别实施不同的身份认证方式,并进行统一的身份管理。
同时,派拉软件专家也指出,虽然API安全防护非常重要,但也应结合行业特征来考虑安全投入与应用性之间的平衡。
在Facebook这样的互联网巨头中,企业会重点关注著高并发下的API服务能力,如果使用了过多的安全策略,很大程度上会导致API服务的性能和应用性不友好。
而在金融、汽车制造等行业,对交易和生产的稳定性、安全性要求更高,而并发数并不像大型互联网企业那么高,因此这类企业会在政策监管的要求下,对API安全进行更加全面的防护。
如今,越来越多的企业在APP、H5、微信小程序等移动端发起业务,在微服务化的趋势下,内外网的交互也越来越多。可以预见,无论是在互联网还是传统行业,API安全网关将是各大企业不可或缺的安全大门,而API安全市场也将因此迎来爆发式增长。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 美媒聚焦比亚迪“副业”:电子代工助力苹果,下个大计划瞄准AI机器人
- 微信零钱通新政策:银行卡转入资金提现免手续费引热议
- 消息称塔塔集团将收购和硕印度iPhone代工厂60%股份 并接管日常运营
- 苹果揭秘自研芯片成功之道:领先技术与深度整合是关键
- 英伟达新一代Blackwell GPU面临过热挑战,交付延期引发市场关注
- 马斯克能否成为 AI 部部长?硅谷与白宫的联系日益紧密
- 余承东:Mate70将在26号发布,意外泄露引发关注
- 无人机“黑科技”亮相航展:全球首台低空重力测量系统引关注
- 赛力斯发布声明:未与任何伙伴联合开展人形机器人合作
- 赛力斯触及涨停,汽车整车股盘初强势拉升
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。