为什么互联网巨头也难逃API攻击?

      为什么互联网巨头也难逃API攻击?无评论


每一天,数亿个API被各大网站、APP频繁调用,构建出一个高度开放和效率的互联网世界。

然而,人们习以为常的API,却逐渐成为不法黑客进行攻击的对象。目前,全球的API数量仍在呈爆发式增长,API安全应引起人们足够的重视。

API攻击带来的大规模用户数据泄露悲剧,已经在全球多个互联网巨头身上重演。

今年3月底,新浪微博因用户查询接口被恶意调用,导致5.38亿微博用户数据泄露,其中1.72亿有账号基本信息,被公开在网上售卖。

当月,Facebook被漏洞赏金猎人Amol Baikar曝出其OAuth框架权限绕过的API漏洞,并因此获取赏金$55,000美元。

而这并不是Facebook第一次发现自身存在的API漏洞。2018年10月,Facebook因API漏洞,使得5000多万个用户信息被公开。

2019年12月,Facebook因API安全漏洞,使黑客在访问受限的情况下也能访问用户的ID和电话号码,从而导致2.67亿个用户的隐私数据被非法售卖。

众所周知,API并不是一个新事物,经过多年的发展,其相关的技术和协议已相当成熟。然而,为什么连Facebook这种首屈一指的大玩家,都没能幸免API安全问题?

传统防护体系之外的API安全

从API的发展历史看,API技术的发展加速了API的广泛使用,而API的广泛使用又促进API技术的发展。

在国外,继Facebook的开放平台获得成功之后,微软、google相继推出了自己的开放平台战略。在国内,头部的互联网公司也开放了自己的API平台,典型的有微博、百度、腾讯等。

在巨头的推动下,API开放已成为互联网的标配。据百度地图公开数据显示,截止2019年12月10日,其位置服务请求次数突破1200亿次。在中国移动的物联网开放平台OneNET上,日均API调用超过2亿次。

可以看到,如今在互联网、移动互联网、物联网上,API的数量和调用次数都颇为惊人。

从企业使用API的情况看,据消费研究公司One Poll一项调查表明,企业平均管理着363个API,其中69%的公司会向公众及其合作伙伴开放这些API。

虽然企业还在不停地增加API的使用,然而大多数企业并不清楚自己拥有多少个API,也不知道API处于什么状态,这就给黑客带来了更多的入侵机会。有数据表明,2014年全球网络攻击流量有40%来自API,而到了2018年已经飙升到83%。

绿盟科技专家在接受科技云报道采访时表示,API安全问题频发的主要原因,在于API资产数量多、管理难,清点API资产容易出现遗漏。

可以说,API安全最难落地的一步恰恰是第一步,即API资产梳理。如果能彻底做好这一步,后面的安全能力建设就会顺畅很多。

同时,由于API 处于传统网络安全防御体系的覆盖之外,API安全问题没有受到足够的重视,针对API的攻击成本也就更低。

除此之外,如果企业公开了不该暴露的API,没有做好最小化信息反馈,认证鉴权机制不够完善甚至缺失,均会导致严重的API安全隐患。

应对API攻击需要整合安全能力

针对企业在API使用和管理上的疏漏,绿盟科技专家表示,API攻击一般会通过以下4种方式:

  • 未授权访问

业务场景复杂、迭代升级频繁,API权限控制较难做到万无一失。API业务逻辑漏洞难以在测试时被发现,一旦某个接口权限控制出现问题,未授权访问带来的后果难以预料。

从Facebook频发的API安全事件看,其漏洞正是在于失效的用户身份认证。

  • 参数的非法篡改

对API参数进行非法篡改和拼接,是目前API攻击中的主流。各类试探性攻击也通常采用此方式发起攻击。一旦服务端参数校验存在逻辑漏洞,API参数篡改很容易带来数据泄露、数字资产损失甚至真实的金融风险。

  • 接口滥用

国际调研机构Gartner曾指出,2022年,API滥用将成为最常见的攻击方式之一。短信、电邮等API接口被滥用,不仅给服务提供商带来了经济损失,同时影响了正常用户的业务办理。

  • DDoS攻击

对未限流的API发起DDoS攻击,消耗服务器资源或带宽资源,使部分业务瘫痪,是最粗暴血腥的攻击方式之一。

可以看到,API攻击利用了多种安全漏洞。

对此,派拉软件专家指出,API安全涉及API资产管理、身份认证、API鉴权、数据安全等多种安全防护领域,包含了从DMZ区到APP区的整个过程的安全防护以及防止敏感信息泄露。

因此,业界关于API安全的解决方案,主要思路是利用API网关形态的产品,从传输层加密、API资产的集中全生命周期的管理、最小化授权、对应用和用户身份进行认证等角度,整合API管理的通用能力。

另外,及时发现和阻止API的滥用、数据加密、防重放攻击等也是广受关注的API安全思路。

API网关产品如何解API之痛?

目前,由于API安全的市场意识还不够,许多企业仅仅将API管理网关视为临时解决方案。

针对API 的安全管控也没有太多成熟的产品和方案,只有一些WAF厂商提供基本的API安全功能,如:Akamai、Imperva在WAF防护能力中提出API的安全防护,以及Kong、NGINX、WSO2这样小而美的解决方案。

在国内,这一情况正在被专业安全厂商改善,绿盟科技、派拉软件、瑞数信息等安全厂商相继推出了针对API的安全解决方案,在不同的业务场景下各有侧重。

绿盟科技的API安全防护方案由多款产品组成,能力涉及抗DDoS、Web应用安全防护、身份认证、访问控制等多个维度。

这其中最核心的是SAG(绿盟API安全网关)、UIP(绿盟统一身份认证平台)、BMG(绿盟业务安全网关)三款产品。

SAG 和 UIP可为企业提供API资产的全生命周期管理能力。通过统一代理、统一认证、精细化的流控等手段,实现API访问控制的最小化授权。

BMG 则侧重API安全防护,如在客户端实现流量加密,不仅可有效防止参数的非法篡改,还能在一定程度保障敏感数据交互的安全。此外,全面、细粒度的日志审计能力,也是非常有必要的。

派拉软件的方案则是以API网关为重点,并配合API管理平台和API门户,对API进行全生命周期的管控,是融合了微服务网关和企业级应用网关的一体化解决方案,包含WAF动态安全防护、安全认证、加解密、加验签、限流、API鉴权等多种安全功能。

那么,在实际的业务场景中,这些API安全方案该如何应用呢?

以某银行机构为例,由于该银行未对API做统一管理,当某个敏捷项目上线时,版本快速迭代,较多API资产对外暴露,导致了一些API安全风险,如:部分API未授权访问、未做参数校验等。

考虑到银行机构一般都部署了NF、WAF、ADS等安全产品,因此针对这类API安全隐患,需重点补充API资产管理、访问控制以及安全防护能力,这是绿盟科技的API安全网关、统一身份认证平台和业务安全网关这三款产品能够对应提供的。

例如,绿盟API安全网关,能够统一管理企业对外API接口,实现TLS/国密加密会话,并将API调用的最小化授权、细粒度流控、日志审计等通用安全能力整合起来,加强API安全的同时提高安全运维效率。

特别对金融机构,当发现异常接口调用时,可第一时间暂停服务调用,熔断降级(如拒绝交易等)。

再看某城商行联盟机构,其API门户为联盟下的40多家银行和券商机构提供统一的API服务,无论是内部应用还是外部第三方的应用,API调用频繁,且涉及多方角色、多种业务,因此针对API门户进行API网关建设尤为重要。

对此,派拉软件的API网关方案从身份认证、安全防护、数据安全三个方面出发,满足企业在安全防护、安全认证、进入控制、API鉴权、合规性审查等方面的需求,从而实现API细粒度的防护。

例如:当不可控的外部调用API时,通过限流、熔断、降权等多种策略对后端服务进行保护。

涉及API非法调用时,可采用Token、OAuth等多种API鉴权方式。当通过API进行应用登陆时,则根据不同的业务级别实施不同的身份认证方式,并进行统一的身份管理。

同时,派拉软件专家也指出,虽然API安全防护非常重要,但也应结合行业特征来考虑安全投入与应用性之间的平衡。

在Facebook这样的互联网巨头中,企业会重点关注高并发下的API服务能力,如果使用了过多的安全策略,很大程度上会导致API服务的性能和应用性不友好。

而在金融、汽车制造等行业,对交易和生产的稳定性、安全性要求更高,而并发数并不像大型互联网企业那么高,因此这类企业会在政策监管的要求下,对API安全进行更加全面的防护。 

如今,越来越多的企业在APP、H5、微信小程序等移动端发起业务,在微服务化的趋势下,内外网的交互也越来越多。

可以预见,无论是在互联网还是传统行业,API安全网关将是各大企业不可或缺的安全大门,而API安全市场也将因此迎来爆发式增长。

转载自:科技云报道

发表评论