當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

瑞數(shù)信息《2023 API安全趨勢(shì)報(bào)告》重磅發(fā)布:API攻擊持續(xù)走高,Bots武器更聰明

 2023-08-10 16:36  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

如今API作為連接服務(wù)和傳輸數(shù)據(jù)的重要通道,已成為數(shù)字時(shí)代的新型基礎(chǔ)設(shè)施,但隨之而來的安全問題也日益凸顯。為了讓各個(gè)行業(yè)更好地應(yīng)對(duì)API安全威脅挑戰(zhàn),瑞數(shù)信息作為國(guó)內(nèi)首批具備“云原生API安全能力”認(rèn)證的專業(yè)廠商,近年來持續(xù)輸出API安全相關(guān)觀點(diǎn),為政企用戶做好API安全防護(hù)提供參考指南。

今日,瑞數(shù)信息正式發(fā)布《2023 API安全趨勢(shì)報(bào)告》 (以下簡(jiǎn)稱“報(bào)告”),從API威脅態(tài)勢(shì)、攻擊手段、API安全發(fā)展趨勢(shì)等多個(gè)方面進(jìn)行深度分析,剖析典型的API攻擊案例,并結(jié)合API趨勢(shì)提供了防護(hù)建議。

報(bào)告指出,隨著API調(diào)用數(shù)量的增多和自動(dòng)化工具的興起,API攻擊持續(xù)走高,API資產(chǎn)管理不當(dāng)、自動(dòng)化攻擊、業(yè)務(wù)欺詐以及數(shù)據(jù)泄露等風(fēng)險(xiǎn)正在對(duì)企業(yè)的業(yè)務(wù)安全構(gòu)成新的挑戰(zhàn)。同時(shí),在遠(yuǎn)程辦公和企業(yè)應(yīng)用向云端遷移的趨勢(shì)下,API威脅越來復(fù)雜化。隨著人工智能、機(jī)器學(xué)習(xí)等技術(shù)的發(fā)展,Bots自動(dòng)化攻擊手段越來越聰明,可以快速、準(zhǔn)確地掃描API漏洞或?qū)PI發(fā)起攻擊,對(duì)系統(tǒng)造成嚴(yán)重威脅。

一、API威脅態(tài)勢(shì)分析

隨著數(shù)字化技術(shù)的發(fā)展和Web API數(shù)量的爆發(fā)性增長(zhǎng),API面臨的安全攻擊比例已經(jīng)超過傳統(tǒng)的Web漏洞攻擊。API和小程序逐漸成為了很多企業(yè)和組織的流量入口,引發(fā)的攻擊越來越多,并且通過API接口攻擊突破Web應(yīng)用,作為跳板進(jìn)入目標(biāo)網(wǎng)絡(luò)。

報(bào)告指出,越來越多的攻擊者正利用API來實(shí)施自動(dòng)化的“高效攻擊”,由API漏洞利用的攻擊或安全管理漏洞所引發(fā)的數(shù)據(jù)安全事件,嚴(yán)重?fù)p害了相關(guān)企業(yè)和用戶權(quán)益,逐漸受到各方的關(guān)注。2022年檢測(cè)到Web攻擊中,針對(duì)API的攻擊占比已經(jīng)超過70%。

依據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn),2022年比2021年API攻擊增加約60%。雖然2022年受疫情影響,多數(shù)單位居家辦公,但是黑灰產(chǎn)的攻擊行為并沒有因此而停止,反而增多。

二、API安全防護(hù)難點(diǎn)

與傳統(tǒng)的Web防護(hù)不同,API的安全防護(hù)要求更為全面,包括資產(chǎn)管理、缺陷識(shí)別、攻擊檢測(cè)、Bots檢測(cè)、參數(shù)檢測(cè)、行為識(shí)別、訪問控制等多個(gè)環(huán)節(jié),任何環(huán)節(jié)的缺失或不足都會(huì)影響到整體的防護(hù)效果:

01 多渠道多邊界難以全面防護(hù)

訪問入口的多樣化,帶來了業(yè)務(wù)應(yīng)用部署邊界的多樣化,如:Web、APP、小程序、第三方平臺(tái)等業(yè)務(wù)接入渠道,導(dǎo)致了脆弱點(diǎn)的暴露面擴(kuò)大,增加了風(fēng)險(xiǎn)管控復(fù)雜性。因此,在同一防護(hù)體系內(nèi)融合多業(yè)務(wù)接入渠道的防護(hù)是API防護(hù)的難點(diǎn)之一。

02 接口分散和傳輸格式多樣性導(dǎo)致接口難以發(fā)現(xiàn)

全面準(zhǔn)確的API接口發(fā)現(xiàn)是API防護(hù)工作的基礎(chǔ),對(duì)API接口進(jìn)行自動(dòng)識(shí)別、分類尤為重要。與傳統(tǒng)Web應(yīng)用可以依賴自身結(jié)構(gòu)上的統(tǒng)一入口不同,API自身多以獨(dú)立個(gè)體的方式分散存在,采用點(diǎn)對(duì)點(diǎn)的訪問模式,難以通過接口之間的聯(lián)系進(jìn)行API發(fā)現(xiàn)。同時(shí),傳輸數(shù)據(jù)格式的多樣性(JSON、XML、GraphQL 等)也增加了API的識(shí)別難度。

03 業(yè)務(wù)緊耦合防護(hù)策略難以通用

API和業(yè)務(wù)是緊耦合的,針對(duì)API的防護(hù)策略往往也和業(yè)務(wù)相關(guān),這就造成API防護(hù)策略在跨業(yè)務(wù)的情況下難以通用,而微服務(wù)架構(gòu)和DevOps模式下應(yīng)用快速迭代變化的特性也放大了這一難點(diǎn),解決這一問題是API防護(hù)產(chǎn)品快速部署推廣的一個(gè)難點(diǎn)。

04 合法授權(quán)下的濫用風(fēng)險(xiǎn)難以識(shí)別

目前API在授權(quán)之后的訪問控制相對(duì)薄弱,海外安全機(jī)構(gòu)Salt Security發(fā)布《State of API Security》中顯示,95%的API攻擊發(fā)生在身份驗(yàn)證之后。API防護(hù)需要重點(diǎn)關(guān)注這些合法授權(quán)下的攻擊、濫用及數(shù)據(jù)過度暴露等風(fēng)險(xiǎn)。如何在已經(jīng)取得合法授權(quán)的請(qǐng)求中識(shí)別出異常訪問,是API防護(hù)需要解決的一個(gè)難題。

三、API攻擊特點(diǎn)分析

在攻防對(duì)抗中,攻擊方通常掌握著主動(dòng)性,因此掌握攻擊者的入侵方法和手段,發(fā)現(xiàn)信息系統(tǒng)的潛在脆弱性,以此作為防范依據(jù)會(huì)大大提升防范效果。面對(duì)越來越嚴(yán)峻的API安全威脅,報(bào)告從行業(yè)分布、缺陷分析、類型分析、API攻擊手段等多個(gè)方面剖析了API攻擊特點(diǎn)。

1 行業(yè)分布

不同行業(yè)應(yīng)用、業(yè)務(wù)形態(tài)的差異導(dǎo)致了API使用情況各不相同,API請(qǐng)求訪問流量占比最高的為互聯(lián)網(wǎng),其次為金融和運(yùn)營(yíng)商。

2 缺陷分析

在OWASP的參考中已經(jīng)定義了多種API缺陷,但在用戶生產(chǎn)環(huán)境中往往難以一一對(duì)應(yīng),為了更加直觀的展示這些缺陷問題,瑞數(shù)信息對(duì)其進(jìn)行了重新組合。最為廣泛出現(xiàn)的 API 缺陷為過度數(shù)據(jù)暴露,其次是參數(shù)可遍歷、 越權(quán)訪問、參數(shù)可篡改、明文密碼傳輸、接口誤暴露等。

3 類型分析

不同的API功能類型,面臨的攻擊程度也不一樣,尤其是適合Bots進(jìn)行自動(dòng)化攻擊的接口,例如:公開數(shù)據(jù)查詢、登錄、下單等類型的接口最容易遭受攻擊。

4 攻擊手段

API作為應(yīng)用與業(yè)務(wù)的結(jié)合體,面臨著雙重的攻擊威脅,除了遭受著傳統(tǒng)SQL注入、SSRF、惡意文件上傳等攻擊外,還面臨著各種業(yè)務(wù)層面的攻擊,例如:越權(quán)訪問、信息遍歷等。

四、API安全發(fā)展趨勢(shì)及防護(hù)建議

隨著API數(shù)量井噴式增長(zhǎng),API安全風(fēng)險(xiǎn)頁(yè)進(jìn)一步加劇。結(jié)合對(duì)API威脅態(tài)勢(shì)和攻擊特點(diǎn)等分析,報(bào)告預(yù)測(cè)了API安全發(fā)展四大趨勢(shì):Bots自動(dòng)化攻擊加劇API安全風(fēng)險(xiǎn);API安全管理更加智能化;API安全成為云應(yīng)用安全的重要組成;合規(guī)要求成為API安全的要素。

基于此,報(bào)告指出,在應(yīng)對(duì)新型的API風(fēng)險(xiǎn)時(shí),主要防護(hù)建設(shè)思路可以歸結(jié)為“一個(gè)基礎(chǔ),四個(gè)感知” 。

一個(gè)基礎(chǔ),即API資產(chǎn)管理是所有安全防護(hù)的基礎(chǔ),確保已上線的API全部都在管控范圍之內(nèi),防止有漏網(wǎng)之魚導(dǎo)致安全防線失效。

四個(gè)感知,包括:環(huán)境感知,加強(qiáng)對(duì)API的調(diào)用環(huán)境進(jìn)行環(huán)境感知,提升API調(diào)用者的環(huán)境安全檢測(cè)能力。風(fēng)險(xiǎn)感知,對(duì)API自身缺陷和外部攻擊風(fēng)險(xiǎn)進(jìn)行感知發(fā)現(xiàn)。數(shù)據(jù)感知,對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別,同時(shí)結(jié)合行業(yè)的分類分級(jí)標(biāo)準(zhǔn),進(jìn)行相應(yīng)的安全策略管控,全面提升敏感信息監(jiān)測(cè)能力。業(yè)務(wù)感知,制定適合的API安全策略,提升業(yè)務(wù)感知能力。

五、結(jié)語(yǔ)

數(shù)字時(shí)代,API在為開發(fā)者帶來諸多好處的同時(shí),也極大的增加了應(yīng)用系統(tǒng)新的風(fēng)險(xiǎn)。據(jù)Gartner預(yù)測(cè),“到2022年,API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見攻擊媒介。到2024年,API濫用和相關(guān)數(shù)據(jù)泄露將幾乎翻倍”。如何正確看待API安全風(fēng)險(xiǎn)并有效防護(hù)API安全,將成為所有企業(yè)的必修課。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 人工智能能否學(xué)會(huì)明辨是非?AI時(shí)代網(wǎng)絡(luò)安全應(yīng)“預(yù)防為先”

    CheckPoint軟件技術(shù)公司報(bào)告稱,一些網(wǎng)絡(luò)犯罪分子利用人工智能來訓(xùn)練其經(jīng)驗(yàn)不足的成員實(shí)施惡意活動(dòng)、改進(jìn)和調(diào)試惡意軟件,甚至實(shí)現(xiàn)攻擊自動(dòng)化。最近的一項(xiàng)麥肯錫調(diào)查顯示,50%的公司已在至少一個(gè)業(yè)務(wù)領(lǐng)域采用了人工智能。在許多互聯(lián)網(wǎng)安全專家眼中,2022年稱得上“人工智能元年”。ChatGPT的橫空出

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 為什么AMTD(自動(dòng)移動(dòng)目標(biāo)防御)正成為網(wǎng)絡(luò)安全的新范式?

    Gartner在今年2月底的一份報(bào)告中指出,AMTD(自動(dòng)移動(dòng)目標(biāo)防御)是網(wǎng)絡(luò)安全的未來。所謂AMTD是一種新興的改變游戲規(guī)則的技術(shù),通過積極主動(dòng)地改變目標(biāo)狀態(tài),變換暴露在敵人面前的攻擊面,以削減攻擊者有效發(fā)動(dòng)攻擊的能力。Gartner認(rèn)為,該技術(shù)將進(jìn)一步改進(jìn)現(xiàn)有的網(wǎng)絡(luò)防御技術(shù),同時(shí)Gartner進(jìn)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 深信服上網(wǎng)行為監(jiān)控:《產(chǎn)教融合行動(dòng)計(jì)劃(廣州宣言)》

    儀式見證共期未來論壇同期舉行了兩項(xiàng)重要儀式:產(chǎn)教融合行動(dòng)計(jì)劃(廣州宣言)啟動(dòng)儀式及《產(chǎn)教融合專業(yè)合作建設(shè)試點(diǎn)單位管理辦法》發(fā)布儀式。這兩項(xiàng)儀式標(biāo)志著廣州市在產(chǎn)教融合的道路上邁出了重要的一步,為全國(guó)產(chǎn)教融合的發(fā)展起到了積極推動(dòng)作用?!懂a(chǎn)教融合行動(dòng)計(jì)劃(廣州宣言)》內(nèi)容一是以新時(shí)代中國(guó)特色社會(huì)主義思想為

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 成都鏈安榮登《嘶吼2023網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》區(qū)塊鏈安全榜單

    成都鏈安上榜《嘶吼2023網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》2023年7月10日,嘶吼安全產(chǎn)業(yè)研究院聯(lián)合國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)(通州園)正式發(fā)布《嘶吼2023網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》。成都鏈安憑借自身技術(shù)實(shí)力以及在區(qū)塊鏈安全行業(yè)廣泛的品牌影響力,榮登《嘶吼2023網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》區(qū)塊鏈安全賽道榜單。這也是成都鏈安連續(xù)第二

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦