威脅情報和API安全方案廠商永安在線近日發(fā)布了2022年第三季度的《API安全研究報告》,，該報告基于永安在線情報系統(tǒng)在當(dāng)季發(fā)現(xiàn)的一手API攻擊事件匯集而成,，從實(shí)際發(fā)生的風(fēng)險來反映當(dāng)下API安全的風(fēng)險態(tài)勢,。報告內(nèi)容顯示,，當(dāng)前我國API安全形勢依然嚴(yán)峻,，對企業(yè)的業(yè)務(wù)和數(shù)據(jù)安全帶來極大挑戰(zhàn),。

　　針對API的攻擊數(shù)量仍處高位

　　覆蓋金融,、政務(wù)等諸多行業(yè)

　　結(jié)合永安在線此前發(fā)布的一、二季度API安全報告可以發(fā)現(xiàn),，在2022年的前三個季度,，遭受攻擊的API數(shù)量平均每月超過20萬個。

　　另外,，針對API的攻擊幾乎遍布各個行業(yè),，其中金融、政務(wù)平臺,、游戲行業(yè)等依然是攻擊者主要目標(biāo),。報告指出，由于金融,、政務(wù)平臺的用戶數(shù)據(jù)和公民個人隱私數(shù)據(jù)等信息具有極高的獲利價值,，因此長期以來一直是黑產(chǎn)交易中的熱門“商品”，這也刺激著攻擊者不斷對這些行業(yè)發(fā)動輪番攻擊,。游戲行業(yè)則是另外一個重災(zāi)區(qū),，依據(jù)永安在線蜜罐所捕獲到的攻擊流量數(shù)據(jù)，Q3存在大量針對游戲平臺注冊,、登錄,、找回密碼等API接口的攻擊流量，涉及掃號,、撞庫,、暴破攻擊等。

　　顯然,，無論是從API攻擊的整體趨勢,，還是對企業(yè)以及用戶的影響，都是不容樂觀的,。由此不難看出,，我國API安全風(fēng)險的整體態(tài)勢依然趨于嚴(yán)峻，而隨著數(shù)字化進(jìn)程的不斷推進(jìn),，這一趨勢恐將仍會延續(xù)較長一段時間,。

　　業(yè)務(wù)風(fēng)險+合規(guī)風(fēng)險

　　API安全問題可致企業(yè)遭受沉重后果

　　不可否認(rèn)的是，隨著近些年國家對于安全的重視程度以及相關(guān)法律法規(guī)及政策的出臺,，大家對于安全的認(rèn)知較之以往大幅增強(qiáng),，但從全面性角度衡量仍有不足。相比于解決木馬病毒,、滲透入侵等風(fēng)險的基礎(chǔ)安全建設(shè),，API架構(gòu)的安全并未得到足夠的重視，這里我們要強(qiáng)調(diào)的是,，API安全風(fēng)險所能帶來的后果同樣不可小覷,。

　　首先是業(yè)務(wù)風(fēng)險,，以營銷作弊、賬號攻擊等場景較為突出,。在永安在線本年度所發(fā)布的前三季度報告中,，營銷作弊是API攻擊中占比最高的場景。營銷作弊會給平臺帶來大量的虛假用戶,，短期內(nèi)似乎“促進(jìn)”了用戶增長,，但這種虛假繁榮會嚴(yán)重阻礙平臺及真正用戶的利益，也不利于整個行業(yè)的健康發(fā)展,。

　　以某數(shù)字藏品平臺API攻擊為例,，攻擊者利用該平臺API接口存在安全缺陷（包括明文傳輸用戶名和密碼等接口參數(shù)），偽造相關(guān)API接口請求,，從而套取活動中的獎勵,。下圖為攻擊者偽造注冊接口請求：

　　賬號攻擊是API攻擊的另一突出場景。以某游戲平臺遭規(guī)?；疉PI攻擊案例所示,，專業(yè)攻擊團(tuán)伙利用掃號、撞庫等行為對平臺API接口發(fā)起攻擊,，盜取大量用戶賬號,，從而竊取用戶在游戲中的虛擬資產(chǎn)，除了給游戲玩家自身造成難以挽回的損失之外,，該游戲平臺也將面臨大量的用戶投訴乃至用戶流失等問題,，還可能會給后續(xù)業(yè)務(wù)推進(jìn)、擴(kuò)張帶來阻力,，為企業(yè)營收增長和未來發(fā)展制造障礙,。

　　其次是合規(guī)風(fēng)險。事實(shí)上,，因API遭攻擊導(dǎo)致數(shù)據(jù)泄露的事件并不少見,，Gartner此前也曾預(yù)測，API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見攻擊媒介,。

　　此次報告最新案例提到,，某銀行信用卡在線業(yè)務(wù)申卡進(jìn)度查詢，API 接口只需要傳入任意身份證號,，不需要經(jīng)過身份驗(yàn)證,，便可以查詢對應(yīng)身份人是否有在該銀行辦理信用卡，以及申請時間,、狀態(tài),、產(chǎn)品等用戶信息。犯罪分子根據(jù)這些信息可以包裝出更加“真實(shí)”的詐騙場景和話術(shù)，實(shí)施精準(zhǔn)詐騙,，受害者往往更容易上當(dāng)受騙。雖然永安在線指出該案例并未直接泄露用戶手機(jī)號,，但黑產(chǎn)攻擊其他平臺可以獲取到相關(guān)手機(jī)號,。

　　此前，永安在線曾監(jiān)測到多起針對數(shù)字政務(wù)平臺的惡意攻擊事件,，攻擊者利用政務(wù)平臺注冊,、查詢等業(yè)務(wù)場景存在API邏輯缺陷進(jìn)行攻擊，從而獲取到平臺用戶身份證,、手機(jī)號,、姓名、地址等個人隱私信息,。下圖為某地區(qū)新冠疫苗接種信息查詢平臺API泄露信息：

　　通過這些案例可以看出,，因API問題導(dǎo)致數(shù)據(jù)泄露并不少見，隨著我國相關(guān)法律法規(guī)的日趨完善,，對造成數(shù)據(jù)泄漏的企業(yè)及直接負(fù)責(zé)人的處罰力度也逐漸加強(qiáng)：

　　如2021年9月施行的《數(shù)據(jù)安全法》中,，最高罰款額度高達(dá)1000萬元；在2021年11月施行的《個人信息保護(hù)法》中,，最高罰款額度最高達(dá)到了5000萬元或上一年度營業(yè)額的5%,。需特別強(qiáng)調(diào)的是，在2022年9月發(fā)布的《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定（征求意見稿）》顯示,，預(yù)計將現(xiàn)行《網(wǎng)絡(luò)安全法》中最高罰款額度為100萬元的條款,，調(diào)整為最高罰款額度為5000萬元或上一年度營業(yè)額5%，力度與《個人信息保護(hù)法》完全一致,。此外,，可責(zé)令企業(yè)暫停相關(guān)業(yè)務(wù)、停業(yè)整頓,、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處罰款以及一定期限的從業(yè)禁止處罰。

　　但在這些風(fēng)險背后,，我們也應(yīng)看到,，作為數(shù)字化時代的重要信息基礎(chǔ)設(shè)施之一，API承載著業(yè)務(wù)邏輯及數(shù)據(jù)交互的重要作用,，因此不能因前文提到的風(fēng)險而以“一刀切”的方式去繞開它,，擺在面前的只有一條路——重視并加強(qiáng)API安全建設(shè)，讓其盡可能在安全的狀態(tài)下為企業(yè),、社會,、國家發(fā)展創(chuàng)造價值。

　　加強(qiáng)API安全建設(shè)需走出誤區(qū)

　　提升內(nèi)部重視程度+引入外部專業(yè)工具“兩手抓”

　　安全419迄今已同諸多企業(yè)用戶,、安全廠商針對API安全話題進(jìn)行溝通和交流,，發(fā)現(xiàn)導(dǎo)致API安全建設(shè)未能做好的原因很多,，其中比較典型的主要體現(xiàn)在以下幾個方面：

　　01 認(rèn)為傳統(tǒng)的防護(hù)手段或設(shè)備（如主流的WAF、API網(wǎng)關(guān)等）足以應(yīng)對當(dāng)前的API安全風(fēng)險,，實(shí)際上,，傳統(tǒng)的安全防護(hù)手段主要以邊界安全為主，在安全能力無法覆蓋到API敏感數(shù)據(jù)的保護(hù),，從而導(dǎo)致API數(shù)據(jù)泄露和違規(guī)訪問的風(fēng)險依然無法規(guī)避,。這里以WAF和API網(wǎng)關(guān)舉例：

　　● 主流的WAF等產(chǎn)品目前更多的是覆蓋客戶端和服務(wù)器之間的南北向流量，而對不同服務(wù)器或數(shù)據(jù)中心之間的東西向流量卻是一個盲區(qū),。

　　● API網(wǎng)關(guān)雖可以在解決授權(quán)及認(rèn)證方面表現(xiàn)出一定的能力,，但并不是所有的API都會在網(wǎng)關(guān)注冊，而業(yè)務(wù)上會存在大量的影子API,。同時,，它仍然無法做到感知和防御海量虛假號碼及秒撥代理發(fā)起的低頻攻擊。

　　因此,，傳統(tǒng)的防護(hù)手段和設(shè)備并非無用,，但面對當(dāng)下的API安全問題顯然捉襟見肘。

　　02 具有僥幸心理,，認(rèn)為攻擊者不會盯上自己,。需強(qiáng)調(diào)的是，當(dāng)前大多數(shù)網(wǎng)絡(luò)攻擊都是有組織的團(tuán)隊且利用自動化工具發(fā)動攻擊,，一旦這些工具在網(wǎng)絡(luò)中發(fā)現(xiàn)了可被利用的漏洞,，就會直接發(fā)起攻擊。在這種情況下,，相信每一個企業(yè)都可能是攻擊者眼中的目標(biāo),。

　　考慮到安全的攻防對抗本質(zhì)，做安全是沒有終點(diǎn)的,，只能是不斷地提升再提升,，但“加強(qiáng)”二字說來容易，如何做呢,？在我們看來,，要著重做到以下“兩手抓”：

　　● 提升對API安全風(fēng)險的重視程度，將API安全管理納入整體安全建設(shè)之中,。

　　在我們看來,，這一點(diǎn)對企業(yè)的API安全建設(shè)及提高風(fēng)險防護(hù)能力水平有著決定性作用。從管理者到相關(guān)的員工有必要真正意識到API安全風(fēng)險及其危害性,，包括上述的業(yè)務(wù)風(fēng)險和合規(guī)風(fēng)險,，并將API安全管理體現(xiàn)在企業(yè)網(wǎng)絡(luò)安全管理制度之中。規(guī)避API安全建設(shè)誤區(qū)（如過高信賴傳統(tǒng)安全措施對當(dāng)前API風(fēng)險的防護(hù)能力等），杜絕僥幸心理,。

　　● 引入專業(yè)API安全管理工具,，積極以新技術(shù)、新思路,、新方法應(yīng)對風(fēng)險,。

　　坦率地說，多數(shù)企業(yè)都不具備獨(dú)自完成較為全面的API安全能力研發(fā)和建設(shè),，因而快速有效的方式是通過引入成熟的工具、產(chǎn)品或解決方案,，用專業(yè)力量化解專業(yè)問題,，用新技術(shù)、新思路,、新方法應(yīng)對風(fēng)險,。

　　以業(yè)務(wù)優(yōu)先為原則

　　基于情報建立API安全基線應(yīng)對風(fēng)險與挑戰(zhàn)

　　為幫助企業(yè)用戶更好地應(yīng)對當(dāng)前API安全挑戰(zhàn)，永安在線于2021年正式推出了API安全管控平臺,，該平臺以頗具創(chuàng)新性的“基于情報建立API安全基線”理念,，有效地幫助企業(yè)實(shí)現(xiàn)對其API資產(chǎn)的全面盤點(diǎn)、預(yù)防發(fā)現(xiàn)阻斷API攻擊,、提升風(fēng)險事件的響應(yīng)速度以及防止流動敏感數(shù)據(jù)泄漏,，幫助企業(yè)構(gòu)建可預(yù)防、可解釋,、可溯源的API安全管理體系,。

　　“業(yè)務(wù)優(yōu)先、解決可見性,、整體可控是做好API安全建設(shè)的原則,。”永安在線COO邵付東于此前接受安全419采訪時指出,，在業(yè)務(wù)優(yōu)先的基礎(chǔ)上,，企業(yè)需要對上線的 API 進(jìn)行整體地梳理，要務(wù)是實(shí)現(xiàn)對所有 API 資產(chǎn)的可視,，再進(jìn)行持續(xù)的 API 漏洞評估和及時感知 API 攻擊風(fēng)險,，實(shí)現(xiàn) API 風(fēng)險的可控。

　　首先,，在資產(chǎn)梳理方面

　　永安在線API安全管控平臺能夠以持續(xù)動態(tài)的方式去梳理API資產(chǎn)和API上流動的敏感數(shù)據(jù),，做到只要有API上線或開始服務(wù)就可被快速識別出來，并第一時間將資產(chǎn)信息同步給相關(guān)業(yè)務(wù)或者安全人員,。不難看出,，該平臺在解決可見性，保證整體可控的同時，真正做到了業(yè)務(wù)優(yōu)先,。

　　此外,，永安在線所獨(dú)有的結(jié)合外部情報對流量分析能力，可對API識別引擎不斷更新和完善,，為更進(jìn)一步提升API梳理的準(zhǔn)確性提供了保障,。據(jù)介紹，永安在線API安全管控平臺的API資產(chǎn)識別率高達(dá)97.8%,，敏感數(shù)據(jù)識別準(zhǔn)確率更是達(dá)到了98.5%,。

　　其次，在風(fēng)險感知方面

　　通過情報（如攻擊者利用的IP,、自動化工具等資源）構(gòu)建API安全行為基線,，可更有效地感知外部API風(fēng)險，且具有誤判率低,、可用性更高的特點(diǎn),。據(jù)介紹，目前永安在線API安全管控平臺風(fēng)險事件預(yù)警的精準(zhǔn)度平均值可達(dá)97.66%,。同時,，基于情報能力可持續(xù)跟蹤攻擊者如何利用在野漏洞來進(jìn)行攻擊，通過對新型攻擊面和攻擊特征的分析,，持續(xù)優(yōu)化API漏洞檢測引擎,，全面覆蓋API的邏輯漏洞及開源系統(tǒng)API的未授權(quán)漏洞等。

　　值得一提的是,，對API風(fēng)險的感知能力也是今年永安在線著重加強(qiáng)的內(nèi)容,，一是“蜜罐能力”的提升，通過加大全網(wǎng)蜜罐部署點(diǎn)以及優(yōu)化,，在針對API接口的高風(fēng)險攻擊事件（如敏感數(shù)據(jù)爬取,、低頻撞庫攻擊、營銷賬號攻擊等）捕獲能力上有了極大提升,；二是在黑產(chǎn)工具識別能力的提升,，通過對惡意代碼分析引擎的優(yōu)化，不僅可以識別更多類型的黑產(chǎn)工具,，還可自動化提取被攻擊的API接口和攻擊特征,，從而大幅提升了風(fēng)險感知效率。

　　最后,，在威脅處置方面

　　該平臺同樣有著出色表現(xiàn),，重點(diǎn)體現(xiàn)在兩方面：一是在響應(yīng)處置方面，基于精準(zhǔn)預(yù)警輸出的攻擊者IOC情報,，平臺可在第一時間聯(lián)動WAF或風(fēng)控系統(tǒng)等設(shè)備予以快速處置,，進(jìn)而將針對API的攻擊徹底阻斷,；二是針對已泄露數(shù)據(jù)的溯源方面，該平臺可針對泄漏數(shù)據(jù)進(jìn)行溯源分析,，可精確定位到關(guān)聯(lián)數(shù)據(jù)訪問的賬號,、API、IP等,，追蹤數(shù)據(jù)泄漏源頭,，為企業(yè)進(jìn)行下一步處置提供可靠依據(jù)。

　　在實(shí)際應(yīng)用方面,，永安在線API安全管控平臺目前已廣泛落地于包括金融,、互聯(lián)網(wǎng)、醫(yī)療,、教育,、制造等諸多行業(yè)和領(lǐng)域，解決問題的能力和水平也廣受認(rèn)可,，表現(xiàn)值得肯定。

　　正如永安在線在報告中所指出的,，API 作為應(yīng)用程序之間,、應(yīng)用與用戶之間交互的橋梁，承載著企業(yè)的業(yè)務(wù)邏輯和大量敏感數(shù)據(jù),，在數(shù)字時代呈爆發(fā)式增長,，圍繞 API 安全的探索必定是當(dāng)下不可回避的話題?？傮w來看,，盡管API安全風(fēng)險所能造成的后果可能會極為嚴(yán)重，且API安全管理當(dāng)前也面臨諸多的痛點(diǎn),、難點(diǎn),，但對于廣大的政企用戶而言并非缺乏對策，一是要從自身內(nèi)部入手,，對API安全風(fēng)險建立正確認(rèn)知,，這是能夠建立起有效API安全防護(hù)能力的必要前提；二是要借鑒國內(nèi)同行及安全企業(yè)的最佳實(shí)踐,，通過引入專業(yè)的API管理工具,、產(chǎn)品或解決方案，快速建立起真正有效的API安全防線,。同時也希望包括以永安在線為代表的安全企業(yè)們,，能夠始終堅持創(chuàng)新，不斷推陳出新,，助力企業(yè)用戶構(gòu)建完善的 API 安全防護(hù)體系,，為其業(yè)務(wù)數(shù)字化轉(zhuǎn)型保駕護(hù)航,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<