还记得勒索软件是DevOps团队担心的主要安全威胁吗?那些日子结束了。当然,勒索软件攻击仍在发生,但据Gartner称,API安全漏洞(2021年增长600%)现在有望成为威胁参与者的头号攻击媒介。这是坏消息。好消息是,在许多方面,DevOps团队已经采取的用于防止勒索软件的安全实践也可以重新用于提供API安全性——只需进行一些调整。继续阅读API安全现状,以及扩展DevOps现有勒索软件防御以保护API的技巧。API的优势虽然API突然成为攻击者最好的朋友似乎令人惊讶,但当您退后一步并考虑我们在过去五年中对API的依赖程度时,情况并非如此。API已经存在很长时间了。但直到最近,API主要用于特定类型的应用程序、B2B或基础设施集成。直到转向微服务和分布式架构,内部(或东西向)API才成为将应用程序环境粘合在一起并在应用程序组件和微组件之间传递信息(有时是敏感信息)的粘合剂。至于外部API,发布公共API已经成为几乎所有软件产品业务的基本期望——如今大约有22000个公共API,而内部API则多出几个数量级。结果是API创建了一个针对几乎所有应用程序或服务的潜在攻击媒介。因此,坏人越来越关注利用API作为获取您不希望他们拥有的东西的手段,这才有意义。从勒索软件保护到API保护您可能认为保护API需要全新的安全工具和实践。但实际上,降低勒索软件风险与降低API安全风险之间存在广泛的相似之处。DevOps团队是抵御这些问题的主要防线。以下是将您的反勒索软件策略扩展为反API利用策略的方法。防止横向移动就像勒索软件通过利用缺陷和漏洞从一个端点横向传播到另一个端点一样,API攻击通常在整个环境中横向传播。这意味着即使您无法阻止所有API(或勒索软件)攻击突破您的边界,您也可以采取措施使损害更难扩散。通过及早检测环境中的恶意活动,您可以在威胁造成大规模危害之前阻止其横向传播。专注于数据安全勒索软件攻击和API攻击都旨在摧毁同一个皇冠上的明珠:您的数据。勒索软件攻击者想用这些数据交换赎金。API攻击者——例如那些从受感染的Peloton帐户中窃取敏感信息的人,或者那些侵入LinkedIn的API以获取大约7亿用户数据的人——通常想要提取它,可能是为了转售,或者可能只是为了破坏你的商业信誉。因此,降低勒索软件风险和API安全风险归结为保护您的数据。通过对内部和公共API实施强大的访问控制和分段,可以降低因API数字证书证书颁发机构造成的数据泄露风险。使用行为安全模型将所有基于签名的安全控制置于攻击预防中将无法很好地抵御勒索软件或API攻击,尤其是当它们是零日攻击或未知攻击时。虽然您当然应该尽可能地强化您的环境,但无法保证漏洞不会越过您的防御。这就是为什么部署基于行为的安全模型是抵御勒索软件和API攻击的关键所在。行为安全模型检测环境中的异常活动,例如异常类型的请求或奇怪的请求模式。通过建模和基线行为,并根据您的模型检测异常,您可以防止攻击在进行时传播。不要依赖外围防御同样,尝试保护环境的外围并不一定能抵御勒索软件或API攻击。相反,您需要跨所有端点、应用程序、服务等分布保护。同样,没有什么能保证攻击者不会进入。防御的成功很大程度上取决于您是否有能力使他们难以将攻击从小漏洞升级为影响广泛资源的攻击。超越表面勒索软件和API攻击的相似之处在于它们通常涉及旨在逃避常见安全监控工具的攻击方法。例如,攻击者可能会尝试利用几乎总是在防火墙上打开的端口80或443(默认HTTP/HTTPS端口)。因此,必须避免仅依靠标准端口或加密来保护API通信。相反,您必须深入研究有效负载,然后解析并理解协议。监控和收集来自多个来源的数据,然后关联和分析它们以更深入地了解环境中实际发生的情况也很重要。结论可以肯定的是,勒索软件攻击和API安全攻击在某些方面有很大不同。它们涉及对不同协议的利用,攻击者的目标通常也不同。但它们实际上在攻击者的操作方式、他们想要窃取的内容(您的数据)以及基于边界的防御、勒索软件攻击和API攻击的局限性方面非常相似。这就是为什么开发人员和DevOps团队不需要重新考虑他们的整个安全策略来应对API攻击激增的原因。相反,采取您已经采取的措施来防止勒索软件,并使用这些技术来帮助保护您的API。
