威脅情報(bào)和API安全方案廠商永安在線近日發(fā)布了2022年第三季度的《API安全研究報(bào)告》，該報(bào)告基于永安在線情報(bào)系統(tǒng)在當(dāng)季發(fā)現(xiàn)的一手API攻擊事件匯集而成，從實(shí)際發(fā)生的風(fēng)險(xiǎn)來(lái)反映當(dāng)下API安全的風(fēng)險(xiǎn)態(tài)勢(shì)。報(bào)告內(nèi)容顯示，當(dāng)前我國(guó)API安全形勢(shì)依然嚴(yán)峻，對(duì)企業(yè)的業(yè)務(wù)和數(shù)據(jù)安全帶來(lái)極大挑戰(zhàn)。

　　針對(duì)API的攻擊數(shù)量仍處高位

　　覆蓋金融、政務(wù)等諸多行業(yè)

　　結(jié)合永安在線此前發(fā)布的一、二季度API安全報(bào)告可以發(fā)現(xiàn)，在2022年的前三個(gè)季度，遭受攻擊的API數(shù)量平均每月超過(guò)20萬(wàn)個(gè)。

　　另外，針對(duì)API的攻擊幾乎遍布各個(gè)行業(yè)，其中金融、政務(wù)平臺(tái)、游戲行業(yè)等依然是攻擊者主要目標(biāo)。報(bào)告指出，由于金融、政務(wù)平臺(tái)的用戶數(shù)據(jù)和公民個(gè)人隱私數(shù)據(jù)等信息具有極高的獲利價(jià)值，因此長(zhǎng)期以來(lái)一直是黑產(chǎn)交易中的熱門“商品”，這也刺激著攻擊者不斷對(duì)這些行業(yè)發(fā)動(dòng)輪番攻擊。游戲行業(yè)則是另外一個(gè)重災(zāi)區(qū)，依據(jù)永安在線蜜罐所捕獲到的攻擊流量數(shù)據(jù)，Q3存在大量針對(duì)游戲平臺(tái)注冊(cè)、登錄、找回密碼等API接口的攻擊流量，涉及掃號(hào)、撞庫(kù)、暴破攻擊等。

　　顯然，無(wú)論是從API攻擊的整體趨勢(shì)，還是對(duì)企業(yè)以及用戶的影響，都是不容樂(lè)觀的。由此不難看出，我國(guó)API安全風(fēng)險(xiǎn)的整體態(tài)勢(shì)依然趨于嚴(yán)峻，而隨著數(shù)字化進(jìn)程的不斷推進(jìn)，這一趨勢(shì)恐將仍會(huì)延續(xù)較長(zhǎng)一段時(shí)間。

　　業(yè)務(wù)風(fēng)險(xiǎn)+合規(guī)風(fēng)險(xiǎn)

　　API安全問(wèn)題可致企業(yè)遭受沉重后果

　　不可否認(rèn)的是，隨著近些年國(guó)家對(duì)于安全的重視程度以及相關(guān)法律法規(guī)及政策的出臺(tái)，大家對(duì)于安全的認(rèn)知較之以往大幅增強(qiáng)，但從全面性角度衡量仍有不足。相比于解決木馬病毒、滲透入侵等風(fēng)險(xiǎn)的基礎(chǔ)安全建設(shè)，API架構(gòu)的安全并未得到足夠的重視，這里我們要強(qiáng)調(diào)的是，API安全風(fēng)險(xiǎn)所能帶來(lái)的后果同樣不可小覷。

　　首先是業(yè)務(wù)風(fēng)險(xiǎn)，以營(yíng)銷作弊、賬號(hào)攻擊等場(chǎng)景較為突出。在永安在線本年度所發(fā)布的前三季度報(bào)告中，營(yíng)銷作弊是API攻擊中占比最高的場(chǎng)景。營(yíng)銷作弊會(huì)給平臺(tái)帶來(lái)大量的虛假用戶，短期內(nèi)似乎“促進(jìn)”了用戶增長(zhǎng)，但這種虛假繁榮會(huì)嚴(yán)重阻礙平臺(tái)及真正用戶的利益，也不利于整個(gè)行業(yè)的健康發(fā)展。

　　以某數(shù)字藏品平臺(tái)API攻擊為例，攻擊者利用該平臺(tái)API接口存在安全缺陷（包括明文傳輸用戶名和密碼等接口參數(shù)），偽造相關(guān)API接口請(qǐng)求，從而套取活動(dòng)中的獎(jiǎng)勵(lì)。下圖為攻擊者偽造注冊(cè)接口請(qǐng)求：

　　賬號(hào)攻擊是API攻擊的另一突出場(chǎng)景。以某游戲平臺(tái)遭規(guī)?；疉PI攻擊案例所示，專業(yè)攻擊團(tuán)伙利用掃號(hào)、撞庫(kù)等行為對(duì)平臺(tái)API接口發(fā)起攻擊，盜取大量用戶賬號(hào)，從而竊取用戶在游戲中的虛擬資產(chǎn)，除了給游戲玩家自身造成難以挽回的損失之外，該游戲平臺(tái)也將面臨大量的用戶投訴乃至用戶流失等問(wèn)題，還可能會(huì)給后續(xù)業(yè)務(wù)推進(jìn)、擴(kuò)張帶來(lái)阻力，為企業(yè)營(yíng)收增長(zhǎng)和未來(lái)發(fā)展制造障礙。

　　其次是合規(guī)風(fēng)險(xiǎn)。事實(shí)上，因API遭攻擊導(dǎo)致數(shù)據(jù)泄露的事件并不少見(jiàn)，Gartner此前也曾預(yù)測(cè)，API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見(jiàn)攻擊媒介。

　　此次報(bào)告最新案例提到，某銀行信用卡在線業(yè)務(wù)申卡進(jìn)度查詢，API 接口只需要傳入任意身份證號(hào)，不需要經(jīng)過(guò)身份驗(yàn)證，便可以查詢對(duì)應(yīng)身份人是否有在該銀行辦理信用卡，以及申請(qǐng)時(shí)間、狀態(tài)、產(chǎn)品等用戶信息。犯罪分子根據(jù)這些信息可以包裝出更加“真實(shí)”的詐騙場(chǎng)景和話術(shù)，實(shí)施精準(zhǔn)詐騙，受害者往往更容易上當(dāng)受騙。雖然永安在線指出該案例并未直接泄露用戶手機(jī)號(hào)，但黑產(chǎn)攻擊其他平臺(tái)可以獲取到相關(guān)手機(jī)號(hào)。

　　此前，永安在線曾監(jiān)測(cè)到多起針對(duì)數(shù)字政務(wù)平臺(tái)的惡意攻擊事件，攻擊者利用政務(wù)平臺(tái)注冊(cè)、查詢等業(yè)務(wù)場(chǎng)景存在API邏輯缺陷進(jìn)行攻擊，從而獲取到平臺(tái)用戶身份證、手機(jī)號(hào)、姓名、地址等個(gè)人隱私信息。下圖為某地區(qū)新冠疫苗接種信息查詢平臺(tái)API泄露信息：

　　通過(guò)這些案例可以看出，因API問(wèn)題導(dǎo)致數(shù)據(jù)泄露并不少見(jiàn)，隨著我國(guó)相關(guān)法律法規(guī)的日趨完善，對(duì)造成數(shù)據(jù)泄漏的企業(yè)及直接負(fù)責(zé)人的處罰力度也逐漸加強(qiáng)：

　　如2021年9月施行的《數(shù)據(jù)安全法》中，最高罰款額度高達(dá)1000萬(wàn)元；在2021年11月施行的《個(gè)人信息保護(hù)法》中，最高罰款額度最高達(dá)到了5000萬(wàn)元或上一年度營(yíng)業(yè)額的5%。需特別強(qiáng)調(diào)的是，在2022年9月發(fā)布的《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定（征求意見(jiàn)稿）》顯示，預(yù)計(jì)將現(xiàn)行《網(wǎng)絡(luò)安全法》中最高罰款額度為100萬(wàn)元的條款，調(diào)整為最高罰款額度為5000萬(wàn)元或上一年度營(yíng)業(yè)額5%，力度與《個(gè)人信息保護(hù)法》完全一致。此外，可責(zé)令企業(yè)暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處罰款以及一定期限的從業(yè)禁止處罰。

　　但在這些風(fēng)險(xiǎn)背后，我們也應(yīng)看到，作為數(shù)字化時(shí)代的重要信息基礎(chǔ)設(shè)施之一，API承載著業(yè)務(wù)邏輯及數(shù)據(jù)交互的重要作用，因此不能因前文提到的風(fēng)險(xiǎn)而以“一刀切”的方式去繞開(kāi)它，擺在面前的只有一條路——重視并加強(qiáng)API安全建設(shè)，讓其盡可能在安全的狀態(tài)下為企業(yè)、社會(huì)、國(guó)家發(fā)展創(chuàng)造價(jià)值。

　　加強(qiáng)API安全建設(shè)需走出誤區(qū)

　　提升內(nèi)部重視程度+引入外部專業(yè)工具“兩手抓”

　　安全419迄今已同諸多企業(yè)用戶、安全廠商針對(duì)API安全話題進(jìn)行溝通和交流，發(fā)現(xiàn)導(dǎo)致API安全建設(shè)未能做好的原因很多，其中比較典型的主要體現(xiàn)在以下幾個(gè)方面：

　　01 認(rèn)為傳統(tǒng)的防護(hù)手段或設(shè)備（如主流的WAF、API網(wǎng)關(guān)等）足以應(yīng)對(duì)當(dāng)前的API安全風(fēng)險(xiǎn)，實(shí)際上，傳統(tǒng)的安全防護(hù)手段主要以邊界安全為主，在安全能力無(wú)法覆蓋到API敏感數(shù)據(jù)的保護(hù)，從而導(dǎo)致API數(shù)據(jù)泄露和違規(guī)訪問(wèn)的風(fēng)險(xiǎn)依然無(wú)法規(guī)避。這里以WAF和API網(wǎng)關(guān)舉例：

　　● 主流的WAF等產(chǎn)品目前更多的是覆蓋客戶端和服務(wù)器之間的南北向流量，而對(duì)不同服務(wù)器或數(shù)據(jù)中心之間的東西向流量卻是一個(gè)盲區(qū)。

　　● API網(wǎng)關(guān)雖可以在解決授權(quán)及認(rèn)證方面表現(xiàn)出一定的能力，但并不是所有的API都會(huì)在網(wǎng)關(guān)注冊(cè)，而業(yè)務(wù)上會(huì)存在大量的影子API。同時(shí)，它仍然無(wú)法做到感知和防御海量虛假號(hào)碼及秒撥代理發(fā)起的低頻攻擊。

　　因此，傳統(tǒng)的防護(hù)手段和設(shè)備并非無(wú)用，但面對(duì)當(dāng)下的API安全問(wèn)題顯然捉襟見(jiàn)肘。

　　02 具有僥幸心理，認(rèn)為攻擊者不會(huì)盯上自己。需強(qiáng)調(diào)的是，當(dāng)前大多數(shù)網(wǎng)絡(luò)攻擊都是有組織的團(tuán)隊(duì)且利用自動(dòng)化工具發(fā)動(dòng)攻擊，一旦這些工具在網(wǎng)絡(luò)中發(fā)現(xiàn)了可被利用的漏洞，就會(huì)直接發(fā)起攻擊。在這種情況下，相信每一個(gè)企業(yè)都可能是攻擊者眼中的目標(biāo)。

　　考慮到安全的攻防對(duì)抗本質(zhì)，做安全是沒(méi)有終點(diǎn)的，只能是不斷地提升再提升，但“加強(qiáng)”二字說(shuō)來(lái)容易，如何做呢？在我們看來(lái)，要著重做到以下“兩手抓”：

　　● 提升對(duì)API安全風(fēng)險(xiǎn)的重視程度，將API安全管理納入整體安全建設(shè)之中。

　　在我們看來(lái)，這一點(diǎn)對(duì)企業(yè)的API安全建設(shè)及提高風(fēng)險(xiǎn)防護(hù)能力水平有著決定性作用。從管理者到相關(guān)的員工有必要真正意識(shí)到API安全風(fēng)險(xiǎn)及其危害性，包括上述的業(yè)務(wù)風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)，并將API安全管理體現(xiàn)在企業(yè)網(wǎng)絡(luò)安全管理制度之中。規(guī)避API安全建設(shè)誤區(qū)（如過(guò)高信賴傳統(tǒng)安全措施對(duì)當(dāng)前API風(fēng)險(xiǎn)的防護(hù)能力等），杜絕僥幸心理。

　　● 引入專業(yè)API安全管理工具，積極以新技術(shù)、新思路、新方法應(yīng)對(duì)風(fēng)險(xiǎn)。

　　坦率地說(shuō)，多數(shù)企業(yè)都不具備獨(dú)自完成較為全面的API安全能力研發(fā)和建設(shè)，因而快速有效的方式是通過(guò)引入成熟的工具、產(chǎn)品或解決方案，用專業(yè)力量化解專業(yè)問(wèn)題，用新技術(shù)、新思路、新方法應(yīng)對(duì)風(fēng)險(xiǎn)。

　　以業(yè)務(wù)優(yōu)先為原則

　　基于情報(bào)建立API安全基線應(yīng)對(duì)風(fēng)險(xiǎn)與挑戰(zhàn)

　　為幫助企業(yè)用戶更好地應(yīng)對(duì)當(dāng)前API安全挑戰(zhàn)，永安在線于2021年正式推出了API安全管控平臺(tái)，該平臺(tái)以頗具創(chuàng)新性的“基于情報(bào)建立API安全基線”理念，有效地幫助企業(yè)實(shí)現(xiàn)對(duì)其API資產(chǎn)的全面盤點(diǎn)、預(yù)防發(fā)現(xiàn)阻斷API攻擊、提升風(fēng)險(xiǎn)事件的響應(yīng)速度以及防止流動(dòng)敏感數(shù)據(jù)泄漏，幫助企業(yè)構(gòu)建可預(yù)防、可解釋、可溯源的API安全管理體系。

　　“業(yè)務(wù)優(yōu)先、解決可見(jiàn)性、整體可控是做好API安全建設(shè)的原則?！庇腊苍诰€COO邵付東于此前接受安全419采訪時(shí)指出，在業(yè)務(wù)優(yōu)先的基礎(chǔ)上，企業(yè)需要對(duì)上線的 API 進(jìn)行整體地梳理，要?jiǎng)?wù)是實(shí)現(xiàn)對(duì)所有 API 資產(chǎn)的可視，再進(jìn)行持續(xù)的 API 漏洞評(píng)估和及時(shí)感知 API 攻擊風(fēng)險(xiǎn)，實(shí)現(xiàn) API 風(fēng)險(xiǎn)的可控。

　　首先，在資產(chǎn)梳理方面

　　永安在線API安全管控平臺(tái)能夠以持續(xù)動(dòng)態(tài)的方式去梳理API資產(chǎn)和API上流動(dòng)的敏感數(shù)據(jù)，做到只要有API上線或開(kāi)始服務(wù)就可被快速識(shí)別出來(lái)，并第一時(shí)間將資產(chǎn)信息同步給相關(guān)業(yè)務(wù)或者安全人員。不難看出，該平臺(tái)在解決可見(jiàn)性，保證整體可控的同時(shí)，真正做到了業(yè)務(wù)優(yōu)先。

　　此外，永安在線所獨(dú)有的結(jié)合外部情報(bào)對(duì)流量分析能力，可對(duì)API識(shí)別引擎不斷更新和完善，為更進(jìn)一步提升API梳理的準(zhǔn)確性提供了保障。據(jù)介紹，永安在線API安全管控平臺(tái)的API資產(chǎn)識(shí)別率高達(dá)97.8%，敏感數(shù)據(jù)識(shí)別準(zhǔn)確率更是達(dá)到了98.5%。

　　其次，在風(fēng)險(xiǎn)感知方面

　　通過(guò)情報(bào)（如攻擊者利用的IP、自動(dòng)化工具等資源）構(gòu)建API安全行為基線，可更有效地感知外部API風(fēng)險(xiǎn)，且具有誤判率低、可用性更高的特點(diǎn)。據(jù)介紹，目前永安在線API安全管控平臺(tái)風(fēng)險(xiǎn)事件預(yù)警的精準(zhǔn)度平均值可達(dá)97.66%。同時(shí)，基于情報(bào)能力可持續(xù)跟蹤攻擊者如何利用在野漏洞來(lái)進(jìn)行攻擊，通過(guò)對(duì)新型攻擊面和攻擊特征的分析，持續(xù)優(yōu)化API漏洞檢測(cè)引擎，全面覆蓋API的邏輯漏洞及開(kāi)源系統(tǒng)API的未授權(quán)漏洞等。

　　值得一提的是，對(duì)API風(fēng)險(xiǎn)的感知能力也是今年永安在線著重加強(qiáng)的內(nèi)容，一是“蜜罐能力”的提升，通過(guò)加大全網(wǎng)蜜罐部署點(diǎn)以及優(yōu)化，在針對(duì)API接口的高風(fēng)險(xiǎn)攻擊事件（如敏感數(shù)據(jù)爬取、低頻撞庫(kù)攻擊、營(yíng)銷賬號(hào)攻擊等）捕獲能力上有了極大提升；二是在黑產(chǎn)工具識(shí)別能力的提升，通過(guò)對(duì)惡意代碼分析引擎的優(yōu)化，不僅可以識(shí)別更多類型的黑產(chǎn)工具，還可自動(dòng)化提取被攻擊的API接口和攻擊特征，從而大幅提升了風(fēng)險(xiǎn)感知效率。

　　最后，在威脅處置方面

　　該平臺(tái)同樣有著出色表現(xiàn)，重點(diǎn)體現(xiàn)在兩方面：一是在響應(yīng)處置方面，基于精準(zhǔn)預(yù)警輸出的攻擊者IOC情報(bào)，平臺(tái)可在第一時(shí)間聯(lián)動(dòng)WAF或風(fēng)控系統(tǒng)等設(shè)備予以快速處置，進(jìn)而將針對(duì)API的攻擊徹底阻斷；二是針對(duì)已泄露數(shù)據(jù)的溯源方面，該平臺(tái)可針對(duì)泄漏數(shù)據(jù)進(jìn)行溯源分析，可精確定位到關(guān)聯(lián)數(shù)據(jù)訪問(wèn)的賬號(hào)、API、IP等，追蹤數(shù)據(jù)泄漏源頭，為企業(yè)進(jìn)行下一步處置提供可靠依據(jù)。

　　在實(shí)際應(yīng)用方面，永安在線API安全管控平臺(tái)目前已廣泛落地于包括金融、互聯(lián)網(wǎng)、醫(yī)療、教育、制造等諸多行業(yè)和領(lǐng)域，解決問(wèn)題的能力和水平也廣受認(rèn)可，表現(xiàn)值得肯定。

　　正如永安在線在報(bào)告中所指出的，API 作為應(yīng)用程序之間、應(yīng)用與用戶之間交互的橋梁，承載著企業(yè)的業(yè)務(wù)邏輯和大量敏感數(shù)據(jù)，在數(shù)字時(shí)代呈爆發(fā)式增長(zhǎng)，圍繞 API 安全的探索必定是當(dāng)下不可回避的話題?？傮w來(lái)看，盡管API安全風(fēng)險(xiǎn)所能造成的后果可能會(huì)極為嚴(yán)重，且API安全管理當(dāng)前也面臨諸多的痛點(diǎn)、難點(diǎn)，但對(duì)于廣大的政企用戶而言并非缺乏對(duì)策，一是要從自身內(nèi)部入手，對(duì)API安全風(fēng)險(xiǎn)建立正確認(rèn)知，這是能夠建立起有效API安全防護(hù)能力的必要前提；二是要借鑒國(guó)內(nèi)同行及安全企業(yè)的最佳實(shí)踐，通過(guò)引入專業(yè)的API管理工具、產(chǎn)品或解決方案，快速建立起真正有效的API安全防線。同時(shí)也希望包括以永安在線為代表的安全企業(yè)們，能夠始終堅(jiān)持創(chuàng)新，不斷推陳出新，助力企業(yè)用戶構(gòu)建完善的 API 安全防護(hù)體系，為其業(yè)務(wù)數(shù)字化轉(zhuǎn)型保駕護(hù)航。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<