5月初,健身公司Peloton报告称其客户的账户数据在互联网上暴露。任何人都可以从Peloton的服务器访问用户帐户数据——即使这些用户将他们的帐户设置为“私人”。原因是有问题的API允许未经身份验证的请求。API支持简单的机器对机器通信。API的使用最近呈爆炸式增长。据Akamai称,API交互已经占所有互联网流量的83%。API也导致了大量的安全问题。除了Peloton,其他涉及API安全问题的企业包括Equifax、Instagram、Facebook、Amazon和Paypal。API的使用和攻击呈上升趋势根据SaltSecurity2月份发布的一份报告,91%的企业在去年遇到了与API相关的安全问题。大多数安全问题是漏洞(54%),其次是身份验证问题(46%)、来自机器人的自动威胁(20%)和DoS攻击(19%)。80%的组织不相信他们的安全工具能够有效抵御API攻击。SaltSecurity的一项调查发现,由于API安全问题,三分之二的公司正在放慢新应用程序的生产速度。而SaltSecurity自己的客户,即使所有企业都部署了WAF和API网关,仍然每个月都会经历几次API攻击——也就是说API攻击已经绕过了这些安全工具。事实上,根据Salt研究,WAF和API网关错过了OWASP十大API安全威胁中的90%。但是,超过四分之一的组织在没有安全策略的情况下运行基于API的关键应用程序。以Peloton为例,一开始是允许任何人在任何地方访问用户数据,无需通过API进行身份验证。Synopsys安全研究中心首席安全政策官TimMackey表示:“Peloton保护其API的第一步是现在订阅访问权限,但这仍然意味着其他用户仍然可以忽略隐私设置的访问权限。这些信息包括用户的年龄、性别、头像和一些活动数据。”导致泄漏的API并不少见。根据SaltSecurity的一份报告,82%的组织对他们了解API信息没有信心;他们无法确定这些API是否包含个人身份信息,例如客户个人网络信息、受保护的健康信息、持卡人数据等。同时,22%的组织表示他们不知道如何发现哪些API正在暴露敏感数据。Traceable的安全研究工程师RoshanPiyush认为,Peloton的问题在于他们使用了未经身份验证的API,这导致了对象级别的身份验证问题。面临同样问题的其他企业有Panera、Fiserv、LifeLock和KayJewelers,而且这样的例子不胜枚举。根据Roshan的说法,在开发过程中,身份验证和授权保护经常被忽视。一家银行的API增长史一家中型金融机构的安全技术经理杰夫说,在过去的几个月里,他所在公司对API的使用增长迅速。如今,API已经连接了超过3000个终端,包括企业内部应用、商业伙伴应用、面向客户的网站和移动设备。而这仅仅是个开始。Jeff提到:“我们现在正处于五年计划的第二年,这个过程将在未来三年进一步加快。我们在16个月前有了一位新的CISO,他拥有强大的API开发背景,所以他肯定会加速的。Jeff表示,他们现在只是在做准备工作:“我们绝对是在正确的道路上。我们现在正在取消所有已部署的数据中心,并转向网站服务提供商,同时使用API连接万物”。Jeff提到API将从四个主要URL地址调用,每个具有不同的服务和不同的参数。这种方法创建了一个保护层。Jeff说:“由于API的风险,我们故意混淆了一些API端点的名称,使横向攻击或嗅探更加困难。”在过去六个月中,该金融机构还将多个API网关合并为一个。在主要网关。该公司的API网关使用了Apigee,这是一家于2016年被谷歌收购的API安全厂商。一些企业对为所有开发者使用一个网关存在一些顾虑,比如担心潜在的生产瓶颈、单点故障或DDoS攻击。但Jeff并不认为他的组织会存在这个问题:“我们的开发人员会偏向于使用API网关。解决方案是通过SaaS提供的,它本身可以跨越多个位置,为开发人员提供更好的访问体验,以减少延迟.因为SaaS可以自动扩展,不像传统的API网关那样受限。“例如,如果一个AP接口预计每月可以处理1000万笔交易,但它在推出的前两周就有2亿笔交易——而且事实上,用户没有遇到任何延迟,或者性能下降。现在,该生产线每月有20亿次API调用,而两年前只有8000万次。在身份验证方法方面,公司的移动和网站应用程序使用较旧的Java技术。Jeff说,他们正在通过软件开发将所有这些都移动起来toolsettoabasedAPIauthenticationenvironment;这现在是其中的关键部分,正在与多个部门协调。这个新的解决方案改变了企业防御基于信用的攻击方式。对于外部合作伙伴,公司正在推动一个API调用的零信任模型。Jeff说:“虽然我们想加快这个过程,但一些合作伙伴还没有准备好。“对于通过网站或移动应用程序访问的消费者,会有一些持久性;这意味着消费者不必多次进行身份验证。但是,Jeff提到:“我们的零信任模型意味着我们不会允许任何Session是持久性的,或者支持任何形式的cookie来保持状态。用户每次都需要进行身份验证。我使用最基本的概念之一:安全、便利和速度。你可以实现两个,但你无法实现所有三个。“对于公司安全范围内的API,还有另一种解决方案。”当API是内部的时候,我们倾向于使用一些更轻量级的非零信任方案。”Jeff说,“我们将使用IP安全,基于流量的目标地址、服务帐户的身份验证,而且它将更多地基于活动目录。“行为分析也被用于监控内部和外部的可疑行为,并自动过滤掉明显的恶意信息。”能够在前门将小麦与谷壳分开,使我们能够更多地关注我们期望看到转移的“好”。行为分析本身也是一种在现实中进行的交互行为。我们将使用IP信誉数据库、行为分析、用户和帐户分析等所有内容。”Jeff说,“如果我们有一个用户每周五存入200美元,现在开始每周三存入800美元;我们将开始观察这种行为。这不仅仅是为了保护我们自己的资产,也是为了确保我们主动报告潜在的洗钱和人口贩卖活动。“通过自动化功能,提供商能够将到达其SOC和安全事件响应团队的事件数量减少35%。为实现这一目标,NOC和CSIRT团队在一年多前使用SaltSecurity的解决方案与ApigeeAPI网关共享流量。“该解决方案会看到所有流向我们最高级别API的流量,然后进行学习,为我们提供有关潜在攻击者的信息和改进代码的建议。”其他团队也启用了相关平台,包括反欺诈团队、开发团队和安全架构团队。Jeff表示,这也让他们加快了API迁移的进程。针对API的机器人攻击API流量在增加,但恶意API流量增长得更快。SaltSecurity客户的每月API调用流量增加了51%,而恶意流量增加了211%。根据Akamai对包括金融服务机构、零售、媒体和娱乐行业在内的100家企业客户的每月API数据的分析,发现API调用次数为7440亿次,其中12%来自已知恶意因素,25%来自非-web浏览器、移动设备或应用程序的最终客户-这意味着此流量也可能来自恶意人员而非合法用户。安永网络安全管理总监RishiPande表示,传统的前端应用程序,例如网站和移动应用程序,将具有一定的防御攻击能力。这些防御措施可以防止DDoS、凭据填充和其他一些自动攻击。“你的前端可能是安全的,但如果API网关不安全,问题很快就会出现,”Pande说。该领域发展迅速,但有些客户会认为技术提供了保护,但实际上这些工具还没有完全准备好。认证问题不仅仅出现在API中。事实上,根据CequenceSecurity的攻击和防御专家JasonKent的说法,针对API层的攻击正在上升,因为它们更加匿名,而且API没有像网站的移动应用程序那样得到很好的保护。Kent曾经通过仓库门公司API的设计题,成功打开了仓库门。他提到:“在标准的网站安全中,会在客户端运行额外的代码来判断是人还是机器。但在API使用上,我们完全摒弃了这套人机识别。我们可以频繁启动你能想象到的最快的攻击。”Kent认为API安全的现状就像2009年应用安全的情况一样,他成功破解仓库门API的方式是通过查看其移动应用程序。“你从应用商店下载的应用只是一堆解压后的文件夹和文件。“它将包含与其通信的所有API端点的列表,”他说。“一旦攻击者拥有移动应用程序并了解其交互方式,攻击者就可以使用相同的API通道发送请求。Kent认为人工智能和机器学习可以抵御此类攻击,因为来自机器人和真人的API请求使用常规应用程序不同。TimetoshiftleftPostman的2020API报告调查了13,500名开发人员,只有36%的公司对其API进行安全测试——相比之下,70%的公司进行功能测试,67%的公司进行集成测试。根据SmartBear的2020API报告,可用性是开发人员对API的最大考虑,其次是功能,安全性仅次于第三。部分原因是因为开发团队经常与安全团队以及网络和架构团队分开。”“这个问题的解决方案是DevSecOps。”凯捷北美高级网络安全经理AlbertWhale说,“我们能够让每个人都成为安全团队的一部分。”Whale认为,从一开始就创建更安全的应用程序比试图通过API网关等技术在最后保护它们。”“我将API网关视为单点故障。”“它会减慢应用程序的速度,因为它必须收集所有信息,”他说。都说API网关很吓人,其实它们和WAF一样有作用;但有需要用的时候,也有需要限制的时候。鲸鱼提到企业应该关注更好的架构,安全和API调用:“企业将需要更长的时间来实现这些,但具有更好代码的应用程序才是真正需要的保护。”当您拥有足以抵抗攻击的应用程序时,显然您不需要需要额外的因素来提供更多的安全能力。网络安全研究公司Securosis的分析师兼总经理MikeRothman同意开发人员的安全意识越来越强。“我们看到DevSec让更多的人参与协作。”’他说,‘这种事经常发生吗?不必要。但我们正在努力打破很多原来固化的思维和沟通障碍,让团队一起工作。Rothman提到,在API安全方面,存在多个漏洞领域。首先是业务逻辑。“这是应用程序安全的关键领域之一,我无法告诉你我们是否正确处理了它。”“当一个集成的应用通过API连接的方式被分割成多个小服务时,对发现和缓解逻辑业务逻辑中的隐患的要求也大大增加,应用可能会按设计运行,认证机制也可能在运行完美,即使是应用程序本身可能一点漏洞都没有,但是如果编程逻辑有问题,还是会出现漏洞,然后就是一系列的漏洞需要注意,OWASP已经两年了2019年发布十大API漏洞没有变化。“我们一直在重复同样的错误,”Rothman说,那么我们需要从多个层面保护环境——传统的网络技术,以及传统的应用安全技术。“最后,企业还需要注意工具、自动化、扫描技术和遥测监控,因为永远不会有足够的人来手动监控itorAPI。”我们需要权衡我们拥有的资源,而人们显然不需要。“通过监视API的调用方式来寻找可能表明恶意使用的异常行为,”Rothman说。“仓库公司已经具备了API安全可视化能力,开发者现在可以很方便的开启一个网站服务,然后设置API。但是,随着每一项新技术的出现,安全总是滞后的。即使所有的开发者都配备了值得信赖的安全控制,但可能仍然存在遗留系统。这些过时的僵尸API具有极大的风险,因为API应该是短暂的并且永远不会停止。“你无法保护你不知道的东西。“看看市场上现有的API解决方案,你必须知道你拥有什么才能保护它,”仓储公司Prologis的安全主管TylerWarren说。这不再是一项新手任务,因为我们的首要任务是发现我们拥有的东西。Prologis的API安全项目负责人Warren表示,他的公司四年前开始开发面向客户的系统。“我们在19个国家/地区拥有约10亿平方英尺的土地和约5,000个仓库。”他说,“当人们听到你是一家仓储公司时,他们会说:‘你和高科技有什么关系?’”但管理层的决定是技术驱动业务,而不是一堆成本。所以Prologis开始改变。四年前,仓库的心态是:“这是你的四堵墙和屋顶,这是你的钥匙,几年后你想续约时回来找我们。”“现在,借助基于云的PrologisEssential平台,客户可以提交服务订单或检查收据状态;但更重要的是,当有人搬进新仓库,Claws,Lighting等产品和服务。由于这是一个全新的服务,没有以前的系统可以参考,Prologis开始使用基于云的无服务器架构。“我们直接跳过了容器。“我们几乎完全无服务器,主要是亚马逊及其Lambda服务,”Warren说。“PrologisEssentials使用AWS的API网关,有15个API接口服务于500个终端,包括内部连接和与外部合作伙伴的集成。上个月,该系统处理了529,000个API请求。但是,Warren发现AWS并没有提供太多的API行为信息。“AWS本身不会给你这些信息。”Warren说,“我们尝试了之前的一些方法,但是WAF达不到这个效果。WAF可以给你一点保护,但仅此而已。“沃伦试图找到易于部署的技术,并且要求该技术不会给开发团队带来麻烦。”如果你搞砸了关系,你就会遇到麻烦他说:“如果你是那种喜欢说‘不’的安全人员,开发人员就会让你走。因此,解决方案需要适应他们的工作流程,而不是给他们增加额外的工作。”也选择了SaltSecurity。他们原计划在2021年全面启动该项目,但最终从2020年开始着手。“API攻击面越来越受到关注。”Warren提到,“那些坏人已经找到了很多攻击面。”SaltSecurity用大约一个月的时间将他们的解决方案嵌入到Essentials系统中。”大部分工作是测试。“在确保开发人员同意更改的同时,不会对性能产生影响,”Warren说。“SaltSecurity的工具位于AWS环境中,从API网关中提取流量,抓取日志和元数据,并将其提供给Salt的SaaS仪表板以进行警报和报告。”一开始我猜我们有100个API端点。沃伦说,“但结果我们有500个。”总的来说,我觉得我了解网络上发生的事情,但这次我显然是错的。这是业内的通病——人们总是低估自己所拥有的。“该系统终于在去年秋天上线了。它能够与WAF接口并自动执行纪律处分。现在,它会将报告发送给安全人员以供人工审查。”我最不想做的就是阻止合法流量。”沃伦提到。系统还会检查是否存在潜在的个人信息泄露。例如,沃伦曾经因为AWS私钥可能已经泄露而收到警报,尽管最终发现是误报。沃伦解释说:“我们有一些帐号看起来像AWS私钥,但这只是巧合。“该系统还发现一些API提供了比必要更多的信息。”虽然电子邮件地址和帐号的组合不一定是敏感信息。“但我需要的是‘如果你不是绝对需要,就不要这样做’,”沃伦说。”这个建议任何使用API??的企业都应该遵循。评论当应用接口越来越多时,使用API??的风险必然会增加,攻击者会开始频繁地利用API漏洞进行攻击,API的安全性自然会提高被更多人看重,今年的ISC创新独角兽沙盒大赛也体现了这一点,冠军得主星蓝科技是一家致力于API安全的企业,可以说,API安全已经成为关注的领域之一以至于厂商们开始关注了。
