為了強(qiáng)調(diào)API安全的重要性,OWASP在2019年首次提出了API Security Top 10,并于2023年發(fā)布了API Security Top 10的內(nèi)容更新。此次更新內(nèi)容專(zhuān)門(mén)增加了“API缺少對(duì)自動(dòng)化威脅的防護(hù)”內(nèi)容,這說(shuō)明在實(shí)際應(yīng)用中,很多企業(yè)API缺乏對(duì)自動(dòng)化攻擊的防護(hù)措施。
Cequence Security在最新發(fā)布的2022年度API安全報(bào)告中也指出,API已成為主要攻擊媒介,而自動(dòng)化攻擊則是API安全的主要威脅。
事實(shí)上,隨著人工智能、機(jī)器學(xué)習(xí)等技術(shù)的發(fā)展,Bot自動(dòng)化攻擊手段變得越來(lái)越普遍和復(fù)雜。Bot自動(dòng)化攻擊可以快速、準(zhǔn)確地掃描API漏洞或?qū)PI發(fā)起攻擊,對(duì)系統(tǒng)造成嚴(yán)重威脅。
那么,究竟什么是針對(duì)API的Bot自動(dòng)化攻擊?這種攻擊是如何發(fā)生的,以及為什么會(huì)變得越來(lái)越普遍?
什么是針對(duì)API的Bot自動(dòng)化攻擊?
所謂Bot,是Robot(機(jī)器人)的簡(jiǎn)稱(chēng),一般指無(wú)形的虛擬機(jī)器人,也可以看作是自動(dòng)完成某項(xiàng)任務(wù)的智能軟件。它可以通過(guò)工具腳本、爬蟲(chóng)程序或模擬器等非人工手動(dòng)操作,在互聯(lián)網(wǎng)上對(duì) Web網(wǎng)站、APP應(yīng)用、API接口進(jìn)行自動(dòng)化程序的訪問(wèn)。
Bot自動(dòng)化攻擊 (Bot Attack),是指通過(guò)工具或者腳本等程序,對(duì)應(yīng)用系統(tǒng)進(jìn)行的攻擊或探測(cè),它不僅僅是一種自動(dòng)化的應(yīng)用漏洞利用的攻擊行為,更多是利用業(yè)務(wù)邏輯漏洞的威脅行為,甚至是模擬合法業(yè)務(wù)操作,躲避現(xiàn)有安全防護(hù)手段的自動(dòng)化威脅行為。
因此,攻擊者可以通過(guò)完全合法有效的API調(diào)用實(shí)現(xiàn)Bot自動(dòng)化攻擊,操縱、欺詐或破壞API,以達(dá)到獲取核心系統(tǒng)權(quán)限、竊取敏感信息、植入惡意軟件、發(fā)起DoS攻擊等目的。
當(dāng)利用這些Bot自動(dòng)化程序?qū)iT(mén)攻擊API時(shí),或者當(dāng)攻擊者利用Bot來(lái)增加API攻擊的規(guī)模、影響和復(fù)雜性時(shí),這就是針對(duì)API的Bot自動(dòng)化攻擊。
為什么這類(lèi)攻擊越來(lái)越多?
多年來(lái)Bot自動(dòng)化程序一直被用于網(wǎng)絡(luò)攻擊,但是為什么當(dāng)它被用于API攻擊時(shí)會(huì)引起如此高的關(guān)注呢?這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面,一旦成功攻擊API,就能獲取大量企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)。
l API更容易被攻擊
與針對(duì)Web應(yīng)用程序的Bot自動(dòng)化攻擊相比,針對(duì)API的Bot自動(dòng)化攻擊更容易且更具成本效益。
API的保護(hù)程度通常不及網(wǎng)站和移動(dòng)應(yīng)用程序。有業(yè)內(nèi)人士認(rèn)為,如今的API安全性就如同應(yīng)用程序安全性在2009年的發(fā)展水平。一旦攻擊者分解了一個(gè)Web應(yīng)用程序并弄清楚了它的通信方式,他們就可以可以使用和Web API相同基礎(chǔ)結(jié)構(gòu)的攻擊機(jī)制。
同時(shí),攻擊者可以隨時(shí)租用價(jià)格低廉的Bot、僵尸網(wǎng)絡(luò)等攻擊工具,不需要太多資源或深厚的技術(shù)知識(shí)就可以發(fā)起針對(duì)API的Bot自動(dòng)化攻擊。
而API更加匿名,API請(qǐng)求不經(jīng)過(guò)瀏覽器或原生應(yīng)用程序代理的傳統(tǒng)路徑,它們充當(dāng)可以訪問(wèn)資源和功能的直接管道,這使得API成為攻擊者有利可圖的目標(biāo)。
l 影子API、僵尸API
影子API是目前API安全中最為突出的問(wèn)題,由于API的使用率激增,企業(yè)往往無(wú)法全部跟蹤管理,因此一些API無(wú)法及時(shí)進(jìn)行維護(hù)更新,就會(huì)成為被攻擊者公開(kāi)利用的漏洞。
與影子API類(lèi)似,僵尸API對(duì)組織來(lái)說(shuō)也是一個(gè)巨大的安全風(fēng)險(xiǎn),通常指的是舊的、很少使用的API版本。由于僵尸API很少得到安全團(tuán)隊(duì)的注意,所以也給了犯罪分子惡意利用的可乘之機(jī)。
根據(jù)Cequence Security最新發(fā)布的2022年度API安全報(bào)告顯示,2022年影子API激增900%,近七成(68%)的受訪企業(yè)暴露了影子API,凸顯了API可見(jiàn)性的缺乏。僅在2022年下半年,就有約450億次搜索影子API的嘗試,比2022年上半年的50億次嘗試增加了900%。
當(dāng)攻擊者利用Bot自動(dòng)化工具來(lái)映射企業(yè)的IT架構(gòu),并窺探影子API、僵尸API時(shí),整個(gè)攻擊過(guò)程會(huì)變得更加快速、簡(jiǎn)單和敏捷。
l API業(yè)務(wù)邏輯缺陷
開(kāi)發(fā)人員傾向于使用通用規(guī)則集,并將API保留為默認(rèn)配置,而不考慮業(yè)務(wù)邏輯,這會(huì)產(chǎn)生業(yè)務(wù)邏輯缺陷。
即便提前通過(guò)安全設(shè)計(jì)審查預(yù)防API業(yè)務(wù)邏輯缺陷,隨著API承載的邏輯越來(lái)越復(fù)雜,API不可避免的存在著可以被利用的Bug或邏輯缺陷,而且每一個(gè) API 都不同,產(chǎn)生的漏洞邏輯也是獨(dú)一無(wú)二。
許多掃描工具都依賴(lài)于已知規(guī)則和行為識(shí)別風(fēng)險(xiǎn),這種方法很難檢測(cè)或阻止攻擊者利用每個(gè)API中獨(dú)特的業(yè)務(wù)邏輯缺陷來(lái)進(jìn)行的攻擊。利用Bot自動(dòng)化工具,攻擊者可以基于這些漏洞造成嚴(yán)重破壞,同時(shí)通過(guò)看似合法的API請(qǐng)求逃避檢測(cè)。
l Bot自動(dòng)化程序大幅提升攻擊效率
相比人工,Bot自動(dòng)化程序有著難以匹敵的速度。攻擊者可以利用Bot自動(dòng)化程序,在未經(jīng)身份驗(yàn)證的情況下向端點(diǎn)發(fā)送大量API請(qǐng)求,暴力破解并快速填充憑證,在短時(shí)間內(nèi)收集大量數(shù)據(jù)。
Bot自動(dòng)化攻擊還可以被攻擊者用來(lái)分散安全團(tuán)隊(duì)的注意力。例如,攻擊者可能會(huì)利用僵尸網(wǎng)絡(luò)觸發(fā)數(shù)千個(gè)安全警報(bào),以誤導(dǎo)安全團(tuán)隊(duì)跟進(jìn)。
l Bot自動(dòng)化攻擊更加隱蔽
API具備開(kāi)放性的特點(diǎn),攻擊者可以和正常用戶一樣來(lái)調(diào)用API,導(dǎo)致攻擊者的流量隱藏在正常用戶的流量里面,其攻擊行為會(huì)更加隱蔽、更難發(fā)現(xiàn)。
事實(shí)上,Bot自動(dòng)化工具被用于API攻擊,也是因?yàn)樗浅k[蔽且能避免被高級(jí)的安全工具檢測(cè)到。攻擊者往往會(huì)利用大量的、低成本的Bot自動(dòng)化工具,偽裝成正常的請(qǐng)求流量,繞過(guò)傳統(tǒng)安全策略對(duì)敏感數(shù)據(jù)進(jìn)行低頻慢速的爬取。這些Bot自動(dòng)化程序能夠在沒(méi)有人干預(yù)的情況下,根據(jù)編程規(guī)則和時(shí)間推移學(xué)習(xí),隨時(shí)隨地做出決策。
l 傳統(tǒng)安全方案失效
當(dāng)利用Bot通過(guò)合法帳戶進(jìn)行API攻擊時(shí),傳統(tǒng)WAF和API網(wǎng)關(guān)安全方案卻日益疲軟。
此類(lèi)攻擊多以合法身份登錄、模擬正常操作、以多源低頻請(qǐng)求為主,而傳統(tǒng)WAF安全主要基于攻擊特征與行為規(guī)則實(shí)行被動(dòng)式防御,在和真人操作幾乎無(wú)異的Bot攻擊行為面前已逐漸失效;同樣,提供身份認(rèn)證、權(quán)限管控、速率限制、請(qǐng)求內(nèi)容校驗(yàn)等安全機(jī)制的傳統(tǒng)API網(wǎng)關(guān),在遇到此類(lèi)情況時(shí)幾乎無(wú)用武之地。
同時(shí),傳統(tǒng)WAF和API網(wǎng)關(guān)安全方案的部署與維護(hù)成本過(guò)高,這些方案并不是專(zhuān)門(mén)為保護(hù)API設(shè)計(jì)的,在阻止API的Bot自動(dòng)化攻擊方面效果更差。
如何保護(hù)API免受Bot自動(dòng)化攻擊?
毫無(wú)疑問(wèn),2023年惡意Bot、高級(jí)Bot自動(dòng)化威脅工具將立足效率高、影響力大,防護(hù)薄弱API的發(fā)展趨勢(shì)將愈加明顯。
瑞數(shù)信息認(rèn)為,以下4種方式可以有效保護(hù)API免受Bot自動(dòng)化攻擊:
l API資產(chǎn)管理
引入API資產(chǎn)管理,借用API安全工具通過(guò)對(duì)訪問(wèn)流量進(jìn)行分析,自動(dòng)發(fā)現(xiàn)流量中的API接口,對(duì)API接口進(jìn)行自動(dòng)識(shí)別、梳理和分組。同時(shí),從API網(wǎng)關(guān)上獲取API注冊(cè)數(shù)據(jù),與API資產(chǎn)進(jìn)行對(duì)比,從而發(fā)現(xiàn)未知API接口。
l API攻擊防護(hù)
綜合利用AI、大數(shù)據(jù)、威脅情報(bào)等技術(shù),持續(xù)監(jiān)控并分析流量行為,有效檢測(cè)威脅攻擊,對(duì)API安全攻擊進(jìn)行實(shí)時(shí)防護(hù)。同時(shí),對(duì)API請(qǐng)求參數(shù)進(jìn)行合規(guī)管控,對(duì)不符合規(guī)范的請(qǐng)求參數(shù)實(shí)時(shí)管控。
l 敏感數(shù)據(jù)管控
對(duì)API傳輸中的敏感數(shù)據(jù)進(jìn)行識(shí)別和過(guò)濾,并對(duì)敏感數(shù)據(jù)進(jìn)行脫敏或者實(shí)時(shí)攔截,規(guī)避數(shù)據(jù)安全風(fēng)險(xiǎn)。
l 訪問(wèn)行為管控
建立多維度訪問(wèn)基線和API威脅建模,對(duì)API接口的訪問(wèn)行為進(jìn)行監(jiān)控和分析。一方面,監(jiān)控基線偏離狀況,針對(duì)高頻情況等進(jìn)行防護(hù),防止高頻情況等造成的API性能瓶頸;另一方面,高效識(shí)別異常訪問(wèn)行為,避免惡意訪問(wèn)造成的業(yè)務(wù)損失。同時(shí),從API網(wǎng)關(guān)上獲取API認(rèn)證和鑒權(quán)數(shù)據(jù),防止未授權(quán)的API調(diào)用,保障API接口只能被合法用戶訪問(wèn)。
目前,國(guó)內(nèi)針對(duì)API防護(hù)已經(jīng)有了完善的創(chuàng)新安全方案。瑞數(shù)信息作為中國(guó)動(dòng)態(tài)安全技術(shù)的創(chuàng)新者和Bots自動(dòng)化攻擊防御領(lǐng)域的專(zhuān)業(yè)廠商,推出的“瑞數(shù)API安全管控平臺(tái)”覆蓋了API安全防護(hù)管理全生命周期,可以有效應(yīng)對(duì)包括Bot自動(dòng)化攻擊在內(nèi)的API安全威脅。
“瑞數(shù)API安全管控平臺(tái)”作為國(guó)內(nèi)首批通過(guò)中國(guó)信通院“云原生API安全能力”評(píng)估的API安全產(chǎn)品,已廣泛應(yīng)用于金融、快消、零售、運(yùn)營(yíng)商、能源等多個(gè)行業(yè),為企業(yè)實(shí)現(xiàn)API安全管控和數(shù)據(jù)安全提供有力支持。
京公網(wǎng)安備 11010502049343號(hào)