实用的网络安全攻防演练是检验企业网络安全建设成效的有效途径。存在真正的安全问题。尽管不少企业通过持续的攻防演练有效提升了安全防护能力,但随着组织数字化进程的加快和业务的快速发展,总有一些风险点跟不上变化。本文对企业在实战攻防演练中容易忽视的API安全风险进行梳理总结,并给出相应的防护策略建议。知己:容易被忽视的攻击风险从以往攻防演练的实际案例来看,各机构在梳理攻击面的过程中,有几个容易被忽视的关键点:1.在梳理过程中影子API的资产,难免有些资产在安全视线之外,如果有些API不经过WAF或API网关,这些API可能是历史遗留下来的僵尸API,容易被攻击,因为缺乏安全保护。2、逻辑漏洞传统的安全检测产品很难发现非授权访问、未授权访问、允许使用弱口令、不合理的错误提示、目录浏览无法访问等逻辑漏洞(安全漏洞)。例如,攻击者利用未授权访问和未授权访问漏洞获取管理员账号密码等敏感数据,或直接执行高权限动作获取系统控制权。3.敏感流量。现有的WAF、API网关等产品大多是针对入站流量的检测,缺乏对出站流量的检测。如果明文敏感数据在出站流量中暴露,则可能被攻击者利用,比如获取内部员工邮箱后发送钓鱼邮件。4.高危组件承载API的后端组件可能存在安全风险(如高危漏洞未修复)。同时,这些组件因为API对外提供服务而暴露在互联网中,经常成为攻击者的目标。API是支持在线应用连接和数据传输的关键。它承载着企业的核心业务逻辑和大量的敏感数据,在应用环境中非常普遍。在当今数字化时代,各行各业都有大量API支持业务交互:?金融:各类银行、证券APP、小程序、第三方业务开放平台等为客户提供大量API接口查询或业务交易,涉及手机号码、银行卡号、身份信息等敏感数据。?政务:公民卡等互联网政务系统、网上政务平台需要在互联网开放API接口,方便处理民生业务,涉及公民居住证、教育信息、身份证等个人隐私数据数字。?医疗:受新冠疫情影响,在线医疗成为人们日常生活的一部分。一大批与疫情相关的检测报告查询APP、小程序、线上业务蓬勃发展。需要通过API获取相关数据信息。?互联网:基于不同互联网行业的实际业务场景,将向第三方合作伙伴、第三方用户等开放大量业务API接口,这些API承载着大量高价值数据,是网络黑客追逐的对象,自然也是攻击者眼中的“香饽饽”。2021年,我们在攻防演练活动中看到多个API漏洞被利用和发现,主要包括:这些API漏洞是如何被攻击者利用的?知己知彼:攻击者常用的攻击“套路”,都是基于以往的实战案例。攻击者针对API的常见攻击方式如下:1暴力破解/撞库攻击攻击者通过扫描找到管理后台的登录页面,针对登录界面进行鉴权或暴力破解,直接获取账号密码后登录后台,或利用获取的邮箱、手机号等信息进行钓鱼、社工等攻击,直至进入企业内网获取更多权限。2危险的路径扫描由于某些后端组件的默认配置或错误配置,一些不必要的API暴露在互联网中,其中一些可以执行高权限操作或获取敏感数据,攻击者可以定位到这些API的路径。3.漏洞扫描随着业务的快速发展,API的迭代和发布周期也在加快。在“重业务,轻安全”的理念驱动下,很多API在开发过程中都存在漏洞。攻击者使用漏洞扫描器检测站点发起扫描,发现易受攻击的API并发起攻击。应对:从业务安全的实际需求出发,了解攻防演练中容易被忽视的API安全风险点和攻击者常见的攻击套路后,各机构需要在攻防演练中做出更好的应对。从业务安全出发,制定相应的API安全管理策略。永安在线调研认为,为了在网络安全攻防演练中有效管理和保护API资产,组织可以从API资产整理、缺陷评估、攻击检测三个方面入手。一是资产动态梳理1、通过业务API调用关系的自动识别,全面持续清查API接口,包括影子API、僵尸API、老版本、功能重复的API,降低风险暴露。2.持续监控敏感数据流向,识别各类敏感数据,对敏感数据进行自定义检测,减少数据暴露。3、持续动态梳理系统访问账户,多维度记录账户访问和操作行为,主动识别风险行为,为企业提供行为溯源能力。二是持续缺陷评估1.全面持续评估API缺陷,能够监测目前常见的各类安全缺陷,全面覆盖OWASPAPITop10安全问题。2、通过完整清晰的缺陷样本和自动化验证流程,帮助企业提高缺陷修复效率。三是攻击精准感知1、基于智能构建API行为基线,及时发现API攻击、账号异常、IP攻击等风险。2、系统支持输出多维IOC异常识别、联动WAF、风控等快速自动阻断。
