如今api作为连接服务和传输数据的重要通道,已成为数字时代的新型基础设施,但随之而来的安全问题也日益凸显。随着数字化技术的发展和web api数量的爆发性增长,api面临的安全攻击风险比其他类型的攻击更加复杂和更难防护。
(akamai北亚区技术总监刘烨)
akamai北亚区技术总监刘烨告诉记者,api在企业中有着广泛的应用,比如应用之间的通信、客户端api调用。akamai 3月份发布的《潜伏在阴影之中:攻击趋势揭示了api威胁》报告显示,api在web攻击里面所占的比例越来越高,2023年在所有web攻击类型里面,针对api的攻击占了将近30%。
api攻击的新观察
在区域分布方面,欧洲的api攻击占比非常高,然后是北美、亚洲和拉丁美洲。而在行业方面,商务行业包括电商、金融行业、制造业等是api攻击的“重灾区”。刘烨解释说,因为这些行业与上下游伙伴的业务交互大多依靠api调用。
特别是金融行业,根据akamai的互联网状况报告,从2022年第二季度到2023年第二季度,亚太地区和日本的金融服务行业的web应用程序和api攻击增加了36%,攻击总数超过37亿次。
刘烨表示,金融行业之所以是api攻击的重点目标行业,是因为金融行业的数据非常重要,包括用户的资金账户信息,还有金融行业的api交互比较复杂,存在攻击漏洞。
此外,针对api,攻击者大多针对http协议本身的漏洞产生攻击,还有active session、数据挖掘、本地文件包含的攻击手段。应该说,api的攻击方式是非常多样化的,企业的防护难度也在增加。
而且owasp的api top10安全隐患显示,api攻击大多与业务逻辑相关,攻击者通过找到api交互过程中的业务逻辑漏洞来发起攻击,造成的影响也是巨大的。
“这些攻击不是原来针对传统签名或特征识别就可以防护的攻击,更多的是要看业务逻辑、建立自己的基线和模型。”刘烨说,“做好api安全防护,需要从可视化、评估漏洞风险和业务逻辑三个方面着手。”
具体来说,api管理需要足够的可视化,实现审计和合规性要求;api的开发需要遵循安全实践,减少风险点。通过安全产品和更合理的开发,可以大大帮助解决安全隐患。
刘烨表示,许多api的问题可能源于在开发过程中留下的接口,这些接口可能仅供内部调用或用于部门间协作。然而,当这些接口暴露在公网上时,安全隐患便产生了。
安全问题逐渐从基础层面转向业务逻辑漏洞,针对业务逻辑的攻击,可以绕过现有的安全手段,直接获取更有价值的东西。企业需要特别关注与业务逻辑相关的api部分,建立在不同业务场景下产生的基线,然后确定哪些是异常情况,也就是找到api和业务逻辑的关联,哪些是违背了业务逻辑的访问。
akamai重塑api安全
针对api攻击,akamai提供了api security产品,可以实现影子api、易受攻击的api、api滥用等管理,形成可观测的api基线。
刘烨表示,企业面对api攻击,应该进行如下工作:减少漏洞,进行api发现,然后进行风险审计、行为检测、响应、事后分析。
在减少漏洞方面,我们需要了解哪些用户访问了哪些内容、访问了哪些端点以及传输了什么内容。akamai api security产品利用大量离线分析和基于api访问日志的建模来建立基准。
akamai微分段产品可以防止恶意攻击者在企业内部横向移动至核心系统。因此,结合api安全标准方法论和网络微分段技术,akamai可以帮助用户减少漏洞并降低漏洞被利用后的损失。
akamai把所有的api数据镜像到data lake,分析用户的api访问行为,并判断是否存在风险,并关联到api防护机制阻断这类型的攻击。
当用户违反了应用逻辑时,应能识别出该用户。一旦识别出问题,需要给出防护措施的指导,如限制或中断用户访问。事后分析有助于优化整体策略,应对可能的风险和恶意攻击,提高api安全防护水平,减少潜在漏洞对系统的渗透。
人工智能技术的流行也为api攻防带来新的影响。在攻击方面,人工智能可以帮助攻击者进行数据挖掘,构建自动化攻击,并根据防御策略调整自身策略,从而加快试错的速度。在防护方面,人工智能可以实现行为分析、异常检测、自适应策略等。
从安全防护方面,akamai利用ai技术检测api漏洞和风险,实现行为分析、自动响应和策略部署等。刘烨认为,企业建立自己的安全防护模型需要投入巨大成本,而且企业的数据量通常不足,学习样本不足可能会影响模型的准确性。
“在建立安全模型基线方面,数据量很重要,这也是akamai作为守方具有更多优势的原因,因为我们可以看到更多数据,更精准地建立模型。企业应该积极利用第三方资源,将ai应用于与业务相关的领域。”刘烨说,“尽管人工智能在许多方面为我们做出了贡献,但最终决策仍然可能需要专业人员的参与。因此,一个高效的安全团队仍然至关重要,他们可以利用安全技术,更好地识别问题,并制定策略和操作方法。”
面对api安全挑战,企业应该采取更加积极主动的防护措施,减少漏洞并实施行为分析、响应和事后分析。通过加强对api安全的关注和投入,企业可以更好地保护其api,守护核心数据资产。(来源:至顶网网络与安全频道)