WAAP(WebApplicationandAPIProtectionPlatform)顶着“下一代WAF”的光环登场,旨在超越基于签名的攻击防护方式传统的WAF,并为用户提供额外的API保护功能。本质上,WAAP是一种更高级的WAF解决方案。那么,如果企业采用WAAP方案,是否还需要部署专门的API安全产品?WAAP解决方案中集成的API保护能力能否实现企业需要的整体API安全保护策略?目前,WAAP解决方案涵盖了我们的API安全能力,主要包括API文档支持、Schema分析验证、API资产发现,这些对于保护API应用免受一系列预设攻击(包括SQL注入、代码执行、DDoS攻击)。但需要指出的是,目前的WAAP解决方案只能解决部分API安全威胁,因为每个API应用都有自己的底层业务逻辑和功能。为了防止API被滥用,企业需要充分了解自身应用流量的变化,这是WAF及其演进产品WAAP无法做到的。因此,随着现代企业组织中API应用的激增,基于WAF或WAAP的防御措施已不足以应对当今更加复杂多样的API攻击威胁。WAAP是传统WAF方案的演进,增加了一些特定的API保护功能。但是,如果一个企业组织想要对所有的API安全威胁具有可见性,仅仅依靠WAAP解决方案的API保护能力是远远不够的。API攻击的完成方式与传统的应用程序攻击有很大不同。随着企业组织数字化转型的深入开展,其业务系统上的API应用数量也在快速增长,改变和扩大了组织的攻击面。由于每一个API应用都有自己独特的业务逻辑,每一次API攻击都是独一无二的,攻击者会做大量的检测来寻找可以被利用的API漏洞。执行此类侦察活动可能需要几天、几周甚至几个月的时间。如果不使用适当的上下文信息进行检测,攻击者可以在整个攻击生命周期中轻松隐藏或伪装他们的攻击。就API安全保护而言,组织需要深入和广泛的上下文分析来发现潜在威胁,而仅依靠WAAP提供运行时保护将使API应用程序面临几个关键的安全风险。具体来说,WAAP通常缺乏驱动上下文和智能的能力,因此难以实现以下防护能力:1.WAAP无法长时间监控API攻击。API攻击的生命周期通常很长,因为攻击者需要不断地检测API。发现可利用的漏洞。由于WAAP解决方案缺乏对长期业务活动的可见性,因此它们无法检测恶意行为者为攻击API而进行的持续侦察活动。为了保护API及其传输的敏感数据,组织不能在损坏发生后才做出反应。即使没有API攻击的所有细节,企业也应该能够通过分析适当的API应用程序上下文来更早地识别攻击。2.WAAP无法识别API行为异常除了随着时间的推移建立可见性,API安全解决方案还必须能够准确识别与API攻击活动相关的异常行为,包括扩展侦察活动、API滥用和业务逻辑操纵攻击。许多API应用程序都假设存在业务逻辑缺陷和滥用的可能性。这是因为企业知道在开发和测试周期中很难识别和清理所有业务逻辑缺陷和漏洞。因此,准确识别行为异常和用户意图的能力是API安全策略中最关键的部分。API攻击是基于一系列活动的行为攻击。高级API安全解决方案可以确定什么代表生态系统中的“正常”行为,什么代表可能构成潜在威胁的“异常”行为。WAAP解决方案更擅长发现已知的攻击模式。由于缺乏行为上下文,WAAP无法可靠地区分“正常”和“异常”API行为,从而触发红旗。3、WAAP缺乏主动学习能力。基于人工智能的安全解决方案最大的特点是可以从遇到的各种安全问题中主动“学习”。在安全系统中使用这种学习能力可以实现更准确的检测并推动更有效的响应措施。利用云规模大数据的力量,在一个客户的环境中学习不仅可以丰富算法,还可以让其他客户受益,因为学习的能力呈指数级增长。不幸的是,当前的WAAP解决方案仍然缺乏这种主动学习能力。4.WAAP无法区分用户意图。云级、成熟的人工智能和机器学习模型可以分析大量数据和流量,并在大量结构和行为属性中搜索签名和模式。但这不是WAAP可以做的。因为API经常被滥用,即使人们完全按照设计使用它们也是如此。如果攻击者针对特权API窃取和使用合法访问凭证用于恶意目的,WAAP通常无法检测到攻击者的未授权访问及其伪装攻击。在没有用户行为上下文的情况下,这些访问行为对于WAAP检测机制来说是合法的。由于WAAP不提供应用程序堆栈的不同应用程序层之间的完整可见性,因此它们无法关联信息以发现潜在威胁。结语不可否认WAAP比WAF更先进,也能在企业完整的API安全防护体系中发挥重要作用,但不能完全解决API安全问题。WAAP解决方案很难有深度和广度的可见性,以及智能和时变的上下文分析能力来抵御不断演变的API攻击。仅依靠WAAP来保护API将留下大量安全盲点,使组织面临风险。为了全面保护企业的API生态,组织除了应用WAAP之外,还需要适当的API安全运行时保护。参考链接:https://salt.security/blog/critical-api-security-gaps-in-waaps?
