在万物互联的数字时代,API在应用环境中越来越普遍。通过API可以快速构建产品和服务,快速响应客户需求。它已成为数字化企业的必备技能。尤其是后疫情时代,远程办公、在线教学等在线应用发展迅猛。API作为一种可以支持在线应用连接和数据传输的轻量级技术,无处不在。同时,API承载着企业的核心业务逻辑和敏感数据,成为网络犯罪分子的重点攻击目标。API安全事件频发近年来,由于API的快速发展以及业务增长与安全的不匹配,因API安全问题引发的数据泄露事件时有发生。例如:2021年4月,5亿Facebook用户的数据泄露。根据暗网公布的数据截图,用户昵称、邮箱、电话号码、家庭住址等相关信息被判断为业务接口泄露。2021年6月,根据裁判文书网公布的裁判文书,犯罪嫌疑人卢某通过某宝商界面开发的爬虫软件获取用户ID、昵称、电话号码等信息11亿条。2021年12月,境内某证券公司客户信息数据,包括用户名、手机号码、开户时间、交易状态等敏感数据,在数据交易平台上以10000多条的顺序被出售天。经验证分析,确认是内部系统数据API控制疏忽造成的。至于为何企业不断出现类似问题?首先,企业业务迭代速度越来越快,线上业务API管理难度加大;此外,对于企业的安全团队来说,在线业务的风险管理不仅仅是一个技术问题,还需要业务方有足够的积极配合意愿;此外,当黑色和灰色行业开始以业务风险为主要攻击面时,企业对业务安全的认识还不够,需要时间进行切换。API安全风险加大据《2021年中国互联网安全报告》数据显示,2021年针对API服务的攻击将达到147.98亿次,同比增长超过200%。此外,针对API业务的攻击手段类型整体趋于多样化。Gartner曾预测:“到2022年,API滥用将从低频攻击类型转变为导致企业Web应用程序数据泄露的最常见攻击向量。”果不其然,根据研究部门SaltLabs发布的《2022年第一季度API安全状况报告》,在过去的一年里,恶意API流量增长了681%,95%的企业都经历过API安全事件,而大多数企业并没有做好应对准备这些挑战,以及34%的企业没有API安全策略。Karma情报平台通过抓取的API自动化攻击工具和攻击流量分析近期API安全风险情况:网络攻击持续频繁发生,月均API攻击量超过25万次;营销欺诈仍然是API攻击的主要场景,数字馆藏仍在受到攻击。恶意爬虫破解伪造API,房源、招聘等信息成为爬取的重点目标。API被用于非法窃取数据,数字政务成为重点攻击目标。API安全漏洞是API攻击的主要原因。据永安在线《API安全研究报告》了解,未授权访问、允许弱密码、不合理的错误提示、云服务配置错误是近期需要关注的四类API安全漏洞。实际上,API漏洞类似于Web漏洞。API调用可以更轻松、更快速地自动化。这是设计使然,但也是一把双刃剑,既方便了开发者,也方便了攻击者。API安全建议Akamai在其发布的《互联网现状/安全性》报告中推荐了几种API安全最佳实践:1.发现您的API并一一盘点它们。许多企业都经历过由他们不了解的API引起的事件。因此,了解API的位置和用途至关重要。与此相关的是企业使用的外部API。这些API也需要被识别和保护,或者至少注册为潜在风险项目并进行评估。2.一旦确定了所有API的位置,您就会想要测试它们并查看存在哪些漏洞。这不仅需要测试工具和扎实的开发人员培训,还需要与现有安全团队密切合作。还需要讨论风险承受能力并制定计划以尽早修复漏洞。首先确定是否存在硬编码密钥、逻辑调用,并了解API流量是否容易受到假冒攻击。扫描存储和代码库以查找可用于破坏API或与之相关的任何内容的密钥也是一个好主意。3.在开发和发布期间利用现有的WAF基础设施、任何身份管理和数据保护解决方案以及任何专门的API安全工具。此外,确保API安全是一项长期工作,而不是开发过程中的一次性任务。随着新漏洞和漏洞的不断涌现,一次性检查只会让攻击面处于危险之中。4.在API策略上,尽量避免对每个API使用唯一的策略,而更喜欢一整套可以复用的策略。此外,不要将策略直接编码到需要保护的API中。这样做违反了职责分离,增加了不必要的复杂性,给维护代码的人员带来了额外的管理负担,并导致安全团队缺乏可见性。一个好的经验法则是将任何资源的默认访问级别设置为null或拒绝。这强制执行最小特权并使身份验证成为一项持续的要求。5.在某种程度上,API开发需要各种利益相关者的参与。这些包括开发团队、网络和安全运营团队、身份相关团队(如果他们不属于运营团队)、风险经理、安全架构师和法律/合规团队(以确保产品符合所有治理和监管法律)).如今,针对API的攻击逐渐成为恶意攻击者的首选。越来越多的攻击者会利用API窃取敏感数据,进行商业欺诈。API是数字时代应用服务的关键技术支撑。安全保护系统势在必行。
