应用程序编程接口 (API) 是数字现代化背后的结缔组织,帮助应用程序和数据库更有效地交换数据。泰雷兹旗下 Imperva 的《2024 年 API 安全状况报告》发现,2023 年大部分互联网流量 (71%) 是 API 调用。更重要的是,到 2023 年,典型的企业网站平均会发生 15 亿次 API 调用。
通过 API 的大量互联网流量应该引起每个安全专业人员的关注。尽管尽了最大努力采用左移框架和 SDLC 流程,但 API 通常仍会在编目、验证或审核之前投入生产。平均而言,组织在生产中拥有 613 个 API 端点,但随着更快、更高效地向客户提供数字服务的压力越来越大,这一数字正在迅速扩大。随着时间的推移,这些 API 可能会成为有风险、易受攻击的端点。
Imperva 在报告中得出结论,API 现在是网络犯罪分子的常见攻击媒介,因为它们是访问敏感数据的直接途径。事实上,Marsh McLennan 网络风险分析中心的一项研究发现,与 API 相关的安全事件每年给全球企业造成的损失高达 750 亿美元。
更多 API 调用,更多问题
与其他行业相比,2023 年银行和在线零售的 API 调用量最高。这两个行业都依赖大型 API 生态系统向客户提供数字服务。因此,包括银行在内的金融服务成为 2023 年 API 相关攻击的主要目标也就不足为奇了。
网络犯罪分子使用多种方法来攻击 API 端点,但一种常见的攻击媒介是帐户接管 (ATO)。当网络犯罪分子利用 API 身份验证过程中的漏洞获取对帐户的未经授权的访问时,就会发生这种攻击。到 2023 年,所有 ATO 攻击中近一半 (45.8%) 以 API 端点为目标。这些尝试通常是通过恶意机器人、恶意运行自动化任务的软件代理形式的自动化来执行的。如果成功,这些攻击可以将客户锁定在其帐户之外,为犯罪分子提供敏感数据,造成收入损失,并增加违规风险。考虑到银行和其他金融机构为其客户管理的数据的价值,ATO 是一个令人担忧的商业风险。
为什么管理不善的 API 是一种安全威胁
降低 API 安全风险是一项独特的挑战,即使是最先进的安全团队也会感到沮丧。该问题源于软件开发的快节奏以及缺乏成熟的工具和流程来帮助开发人员和安全团队更加协作。因此,近十分之一的 API 很容易受到攻击,因为它没有被正确弃用、没有受到监控或缺乏足够的身份验证控制。
Imperva 在报告中指出了三种常见类型的管理不善的 API 端点,它们会给组织带来安全风险:影子 API、已弃用的 API 和未经身份验证的 API。
影子 API:也称为未记录或未发现的 API,这些 API 不受监督、被遗忘和/或在安全团队的可见范围之外。Imperva 估计影子 API 占每个组织的活动 API 集合的 4.7%。引入这些端点的原因有多种——从软件测试的目的到用作第三方服务的连接器。当这些 API 端点未正确编目或管理时,就会出现问题。企业应该关注影子 API,因为它们通常可以访问敏感信息,但没有人知道它们存在于何处或连接到什么。单个影子 API 可能会导致合规性违规和监管罚款,或更糟糕的是,有动机的网络犯罪分子会滥用它来访问组织的敏感数据。
已弃用的 API:弃用 API 端点是软件生命周期中的一个自然过程。因此,随着软件以快速、持续的速度更新,已弃用的 API 的存在并不罕见。事实上,Imperva 估计已弃用的 API 平均占组织活动 API 集合的 2.6%。当端点被弃用时,支持此类端点的服务将被更新,并且对已弃用端点的请求应该失败。但是,如果不更新服务并且不删除 API,端点就会变得容易受到攻击,因为它缺乏必要的修补和软件更新。
未经身份验证的 API:未经身份验证的 API 的引入通常是由于错误配置、匆忙发布过程的监督或放松严格的身份验证过程以适应旧版本的软件造成的。这些 API 平均占组织活动 API 集合的 3.4%。未经身份验证的 API 的存在会给组织带来重大风险,因为它可能会将敏感数据或功能暴露给未经授权的用户,并导致数据泄露或系统操纵。
为了减轻 API 管理不善带来的各种安全风险,建议定期进行审核以识别未经监控或未经身份验证的 API 端点。持续监控可以帮助检测任何利用与这些端点相关的漏洞的尝试。此外,开发人员应定期更新和升级 API,以确保已弃用的端点被更安全的替代方案所取代。
如何保护 API
Imperva 提供了多项建议来帮助组织改善 API 安全状况:
发现、分类和清点所有 API、端点、参数和负载。使用持续发现来维护始终最新的 API 清单并披露敏感数据的暴露情况。
识别并保护敏感和高风险 API。专门针对容易受到破坏的授权和身份验证以及过多数据泄露的 API 端点执行风险评估。
为API端点建立强大的监控系统,以主动检测和分析可疑行为和访问模式。
采用集成了 Web 应用程序防火墙 (WAF)、API 保护、分布式拒绝服务 (DDoS) 防护和机器人防护的 API 安全方法。全面的缓解选项提供了灵活性和高级保护,以应对日益复杂的 API 威胁(例如业务逻辑攻击),这些攻击对于每个 API 来说都是独一无二的,因此防御起来特别具有挑战性。
转载自安全客
下一篇:返回列表