API是連接現(xiàn)代應(yīng)用程序的基石,越來越多的企業(yè)意識到API的重要性,其數(shù)量迎來爆發(fā)式增長,但API面臨的安全威脅卻比API調(diào)用增長更加迅猛。Salt Security于今年2月發(fā)布的報告顯示,2022年有91%的公司存在與API相關(guān)的安全問題,80%的組織認為他們的安全工具不能有效地防止API攻擊。
為了強調(diào)API安全的重要性,OWASP在2019年首次提出了API Security Top 10,并于2023年發(fā)布了API Security Top 10的內(nèi)容更新。此次更新內(nèi)容專門增加了“API缺少對自動化威脅的防護”內(nèi)容,這說明在實際應(yīng)用中,很多企業(yè)API缺乏對自動化攻擊的防護措施。
Cequence Security在最新發(fā)布的2022年度API安全報告中也指出,API已成為主要攻擊媒介,而自動化攻擊則是API安全的主要威脅。
事實上,隨著人工智能、機器學(xué)習(xí)等技術(shù)的發(fā)展,Bot自動化攻擊手段變得越來越普遍和復(fù)雜。Bot自動化攻擊可以快速、準確地掃描API漏洞或?qū)PI發(fā)起攻擊,對系統(tǒng)造成嚴重威脅。
那么,究竟什么是針對API的Bot自動化攻擊?這種攻擊是如何發(fā)生的,以及為什么會變得越來越普遍?
什么是針對API的Bot自動化攻擊?
所謂Bot,是Robot(機器人)的簡稱,一般指無形的虛擬機器人,也可以看作是自動完成某項任務(wù)的智能軟件。它可以通過工具腳本、爬蟲程序或模擬器等非人工手動操作,在互聯(lián)網(wǎng)上對 Web網(wǎng)站、APP應(yīng)用、API接口進行自動化程序的訪問。
Bot自動化攻擊 (Bot Attack),是指通過工具或者腳本等程序,對應(yīng)用系統(tǒng)進行的攻擊或探測,它不僅僅是一種自動化的應(yīng)用漏洞利用的攻擊行為,更多是利用業(yè)務(wù)邏輯漏洞的威脅行為,甚至是模擬合法業(yè)務(wù)操作,躲避現(xiàn)有安全防護手段的自動化威脅行為。
因此,攻擊者可以通過完全合法有效的API調(diào)用實現(xiàn)Bot自動化攻擊,操縱、欺詐或破壞API,以達到獲取核心系統(tǒng)權(quán)限、竊取敏感信息、植入惡意軟件、發(fā)起DoS攻擊等目的。
當(dāng)利用這些Bot自動化程序?qū)iT攻擊API時,或者當(dāng)攻擊者利用Bot來增加API攻擊的規(guī)模、影響和復(fù)雜性時,這就是針對API的Bot自動化攻擊。
為什么這類攻擊越來越多?
多年來Bot自動化程序一直被用于網(wǎng)絡(luò)攻擊,但是為什么當(dāng)它被用于API攻擊時會引起如此高的關(guān)注呢?這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面,一旦成功攻擊API,就能獲取大量企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)。
API更容易被攻擊
與針對Web應(yīng)用程序的Bot自動化攻擊相比,針對API的Bot自動化攻擊更容易且更具成本效益。
API的保護程度通常不及網(wǎng)站和移動應(yīng)用程序。有業(yè)內(nèi)人士認為,如今的API安全性就如同應(yīng)用程序安全性在2009年的發(fā)展水平。一旦攻擊者分解了一個Web應(yīng)用程序并弄清楚了它的通信方式,他們就可以可以使用和Web API相同基礎(chǔ)結(jié)構(gòu)的攻擊機制。
同時,攻擊者可以隨時租用價格低廉的Bot、僵尸網(wǎng)絡(luò)等攻擊工具,不需要太多資源或深厚的技術(shù)知識就可以發(fā)起針對API的Bot自動化攻擊。
而API更加匿名,API請求不經(jīng)過瀏覽器或原生應(yīng)用程序代理的傳統(tǒng)路徑,它們充當(dāng)可以訪問資源和功能的直接管道,這使得API成為攻擊者有利可圖的目標。
影子API、僵尸API
影子API是目前API安全中最為突出的問題,由于API的使用率激增,企業(yè)往往無法全部跟蹤管理,因此一些API無法及時進行維護更新,就會成為被攻擊者公開利用的漏洞。
與影子API類似,僵尸API對組織來說也是一個巨大的安全風(fēng)險,通常指的是舊的、很少使用的API版本。由于僵尸API很少得到安全團隊的注意,所以也給了犯罪分子惡意利用的可乘之機。
根據(jù)Cequence Security最新發(fā)布的2022年度API安全報告顯示,2022年影子API激增900%,近七成(68%)的受訪企業(yè)暴露了影子API,凸顯了API可見性的缺乏。僅在2022年下半年,就有約450億次搜索影子API的嘗試,比2022年上半年的50億次嘗試增加了900%。
當(dāng)攻擊者利用Bot自動化工具來映射企業(yè)的IT架構(gòu),并窺探影子API、僵尸API時,整個攻擊過程會變得更加快速、簡單和敏捷。
API業(yè)務(wù)邏輯缺陷
開發(fā)人員傾向于使用通用規(guī)則集,并將API保留為默認配置,而不考慮業(yè)務(wù)邏輯,這會產(chǎn)生業(yè)務(wù)邏輯缺陷。
即便提前通過安全設(shè)計審查預(yù)防API業(yè)務(wù)邏輯缺陷,隨著API承載的邏輯越來越復(fù)雜,API不可避免的存在著可以被利用的Bug或邏輯缺陷,而且每一個 API 都不同,產(chǎn)生的漏洞邏輯也是獨一無二。
許多掃描工具都依賴于已知規(guī)則和行為識別風(fēng)險,這種方法很難檢測或阻止攻擊者利用每個API中獨特的業(yè)務(wù)邏輯缺陷來進行的攻擊。利用Bot自動化工具,攻擊者可以基于這些漏洞造成嚴重破壞,同時通過看似合法的API請求逃避檢測。
Bot自動化程序大幅提升攻擊效率
相比人工,Bot自動化程序有著難以匹敵的速度。攻擊者可以利用Bot自動化程序,在未經(jīng)身份驗證的情況下向端點發(fā)送大量API請求,暴力破解并快速填充憑證,在短時間內(nèi)收集大量數(shù)據(jù)。
Bot自動化攻擊還可以被攻擊者用來分散安全團隊的注意力。例如,攻擊者可能會利用僵尸網(wǎng)絡(luò)觸發(fā)數(shù)千個安全警報,以誤導(dǎo)安全團隊跟進。
Bot自動化攻擊更加隱蔽
API具備開放性的特點,攻擊者可以和正常用戶一樣來調(diào)用API,導(dǎo)致攻擊者的流量隱藏在正常用戶的流量里面,其攻擊行為會更加隱蔽、更難發(fā)現(xiàn)。
事實上,Bot自動化工具被用于API攻擊,也是因為它非常隱蔽且能避免被高級的安全工具檢測到。攻擊者往往會利用大量的、低成本的Bot自動化工具,偽裝成正常的請求流量,繞過傳統(tǒng)安全策略對敏感數(shù)據(jù)進行低頻慢速的爬取。這些Bot自動化程序能夠在沒有人干預(yù)的情況下,根據(jù)編程規(guī)則和時間推移學(xué)習(xí),隨時隨地做出決策。
傳統(tǒng)安全方案失效
當(dāng)利用Bot通過合法帳戶進行API攻擊時,傳統(tǒng)WAF和API網(wǎng)關(guān)安全方案卻日益疲軟。
此類攻擊多以合法身份登錄、模擬正常操作、以多源低頻請求為主,而傳統(tǒng)WAF安全主要基于攻擊特征與行為規(guī)則實行被動式防御,在和真人操作幾乎無異的Bot攻擊行為面前已逐漸失效;同樣,提供身份認證、權(quán)限管控、速率限制、請求內(nèi)容校驗等安全機制的傳統(tǒng)API網(wǎng)關(guān),在遇到此類情況時幾乎無用武之地。
同時,傳統(tǒng)WAF和API網(wǎng)關(guān)安全方案的部署與維護成本過高,這些方案并不是專門為保護API設(shè)計的,在阻止API的Bot自動化攻擊方面效果更差。
如何保護API免受Bot自動化攻擊?
毫無疑問,2023年惡意Bot、高級Bot自動化威脅工具將立足效率高、影響力大,防護薄弱API的發(fā)展趨勢將愈加明顯。
瑞數(shù)信息認為,以下4種方式可以有效保護API免受Bot自動化攻擊:
API資產(chǎn)管理
引入API資產(chǎn)管理,借用API安全工具通過對訪問流量進行分析,自動發(fā)現(xiàn)流量中的API接口,對API接口進行自動識別、梳理和分組。同時,從API網(wǎng)關(guān)上獲取API注冊數(shù)據(jù),與API資產(chǎn)進行對比,從而發(fā)現(xiàn)未知API接口。
API攻擊防護
綜合利用AI、大數(shù)據(jù)、威脅情報等技術(shù),持續(xù)監(jiān)控并分析流量行為,有效檢測威脅攻擊,對API安全攻擊進行實時防護。同時,對API請求參數(shù)進行合規(guī)管控,對不符合規(guī)范的請求參數(shù)實時管控。
敏感數(shù)據(jù)管控
對API傳輸中的敏感數(shù)據(jù)進行識別和過濾,并對敏感數(shù)據(jù)進行脫敏或者實時攔截,規(guī)避數(shù)據(jù)安全風(fēng)險。
訪問行為管控
建立多維度訪問基線和API威脅建模,對API接口的訪問行為進行監(jiān)控和分析。一方面,監(jiān)控基線偏離狀況,針對高頻情況等進行防護,防止高頻情況等造成的API性能瓶頸;另一方面,高效識別異常訪問行為,避免惡意訪問造成的業(yè)務(wù)損失。同時,從API網(wǎng)關(guān)上獲取API認證和鑒權(quán)數(shù)據(jù),防止未授權(quán)的API調(diào)用,保障API接口只能被合法用戶訪問。
目前,國內(nèi)針對API防護已經(jīng)有了完善的創(chuàng)新安全方案。瑞數(shù)信息作為中國動態(tài)安全技術(shù)的創(chuàng)新者和Bots自動化攻擊防御領(lǐng)域的專業(yè)廠商,推出的“瑞數(shù)API安全管控平臺”覆蓋了API安全防護管理全生命周期,可以有效應(yīng)對包括Bot自動化攻擊在內(nèi)的API安全威脅。
“瑞數(shù)API安全管控平臺”作為國內(nèi)首批通過中國信通院“云原生API安全能力”評估的API安全產(chǎn)品,已廣泛應(yīng)用于金融、快消、零售、運營商、能源等多個行業(yè),為企業(yè)實現(xiàn)API安全管控和數(shù)據(jù)安全提供有力支持。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!