针对API应用程序的网络攻击已经开始对各大企业组织造成严重破坏。因此,每个组织都需要增加对API应用程序安全性的重视。日前,网络安全研究员SamCurry及其研究团队在全球数十家顶级汽车制造商生产的车辆和车联网服务中发现了多处API应用漏洞。利用这些漏洞,攻击者可以进行范围广泛的恶意活动,从非法窃取车主个人隐私信息,到远程解锁车辆、监控车辆等。SamCurry表示,通过深入的研究分析和实际测试,他的团队发现API应用安全问题几乎影响了目前所有的主流汽车品牌,包括奔驰、宝马、劳斯莱斯、法拉利、保时捷、捷豹、路虎、本田、英菲尼迪、日产、讴歌、丰田、福特等20个知名品牌。此外,研究团队还发现,Reviver、SiriusXM、Spireon等主流车联网服务商的应用解决方案也存在大量严重的API安全漏洞。据了解,研究人员利用发现的API安全漏洞,成功进入配置不当的SSO系统,成功访问了奔驰、宝马等车企的多个内部业务系统,以及大量员工和客户信息数据。例如,在梅赛德斯-奔驰的测试中,研究人员成功访问了多个私有GitHub实例、Mattermost、服务器、Jenkins和AWS实例上的内部聊天频道,并连接到客户车辆的XENTRY系统等;而在宝马的测试中,研究人员访问了内部经销商网站,超级特权查询了客户汽车的VIN,并检索了包含敏感车主详细信息的销售文件。这些安全问题一旦被真正的攻击者发现,后果不堪设想。API成为关键安全问题事实上,API应用安全问题不仅仅存在于汽车制造领域。最近的一项研究数据显示,在过去的一年里,大约95%的受访企业都遇到过API应用安全事件。此外,超过50%的受访企业因API安全威胁不得不推迟业务应用的发布和更新。为什么API安全成为一个快速增长、亟待有效解决的安全问题?主要原因如下:不断变化的环境:随着组织向其IT基础架构添加更多的应用程序和软件,他们不知不觉地集成了大量不同的API应用程序。所有这些API都是不同的,由不同的开发人员提供。因此,一般的安全方法无法充分保护如此多样化的API应用程序;独特的网络攻击:因为每个API都是独一无二的,它也往往具有独特的安全漏洞,攻击者会发现这些漏洞可以为他们带来优势。与传统的跨站脚本和SQL注入攻击不同,API应用漏洞更多是由于业务逻辑不完善造成的,利用这些漏洞会影响组织数据的完整性;漏洞检测延迟:传统的应用系统检测工具往往在开发后期使用。但是,在面对API应用时,这种延迟扫描的效果往往并不理想。此外,在开发的最后阶段使用传统安全工具可能会产生更多误报。API安全防护挑战API安全挑战层出不穷,但企业在应用大量安全防护工具应对API安全威胁时效果并不理想。原因是什么?1.API不同于网络应用程序。对于API安全保护,目前大多数应用安全工具效果不佳的主要原因是IT团队采用了过于传统的安全手段。企业首先要意识到,虽然API是Web应用程序基础架构的一部分,但它不仅仅是一个Web应用程序。两者并不相同,它们具有不同的安全漏洞,因此需要专门的保护策略。例如,损坏的对象级授权(BOLA)是更常见的API安全问题之一。当API将处理对象标识符的端点公开给经过身份验证但未经授权的用户时,就会出现此问题。由于涉及大量复杂的微服务,传统的Web应用程序安全工具无法充分解决BOLA问题。但事实上,许多企业仍在继续通过DAST工具处理此类安全问题。由此产生的错误安全感是API安全问题持续恶化的原因之一。2.应用安全不是保护API大多数应用安全工具不能有效保护API应用的主要原因是其固有的技术局限性。例如,静态应用程序安全测试(SAST)不适用于API,因为SAST主要依赖源代码检查和数据流建模来确定漏洞是如何发生的。由于使用了复杂的第三方框架和库,SAST扫描器无法将相同的方法应用于API。因此,当在API上运行SAST工具时,会产生过多的漏报,从而无法有效检测到实际的安全漏洞。3.API安全测试延迟使用应用程序安全工具来检查应用程序的安全性通常发生在软件开发生命周期(SDLC)的后期,因为这些工具需要一个可行的应用程序来执行测试。但是,这种方法不应该用于API安全。由于以微服务为中心的架构,开发者需要在开发过程中测试每个API的漏洞。这种快速扫描允许组织将更安全的API部署到他们的基础架构中,从而最大限度地降低未来的风险。API安全解决方案的完善随着信息技术的飞速发展,API安全保护也在不断演进。多向量、自动化工具、武器化的人工智能攻击将成为API攻击的主流。相应地,安全防护措施也需要加强系统化、自动化、深度学习和智能化能力,向以系统打系统、以智能护智能的方向演进。传统的应用安全工具不会一无是处,企业仍然需要部署Web应用防火墙(WAF)、SAST、DAST等工具。但是,为达到更好的API保护效果,企业组织应提前谋划,积极采用更先进的方法,结合人工智能、机器学习、行为分析等现代技术检测API应用中的缺陷。企业还可以考虑采用托管API保护服务。在这种模式下,安全人员可以在不依赖以往内容输入验证的情况下,快速发现新的安全漏洞,并根据API应用的特点进行针对性的防护。此外,开发人员必须采用安全“左移”方法,确保他们的API具有有效的方法来检测漏洞并在开发的早期阶段修复漏洞。这有助于保证API在实际使用后的可靠性和安全性。
