究竟什么是API
常规定义下,API是应用程序接口(Application Programming Interface)的简称,其含义比较宽泛,泛指一组定义、程序及协议的集合。随着技术领域的细分和前后端分离架构模式的推广,App应用、小程序、微服务、云原生等场景的不断演进和普及,API的应用也越来越广泛。
攻击者为什么偏好通过API进行渗透
传统的资产管理和安全防护过程中,由于资产是相对明确的IP、端口等,做安全策略时都有相对成熟的经验。而API作为落到URL级的新型资产,如果还是沿用以前的经验,就存在一定困难和挑战,也往往会导致无法采取相应的监控和防护手段,缺乏API资产的统一管理。这也是通过API进行渗透入侵被发现的概率通常较低的原因之一。
在业务平台建设和升级的同时,API接口版本也在不断升级,但由于考虑系统兼容的需要,许多老旧的API接口仍然活跃在系统中。而这些老旧接口往往存在脆弱性和安全风险,在缺失监控管理的情况下,就很容易被突破,进而造成数据或关键权限丢失,从而引发一点突破、全盘皆输的局面。
此外,API本身就承担着提供数据交互的工作,从API上获取敏感信息再进一步渗透是一种常见的社工方式。
API面临的主要安全威胁
API安全受到当下攻防双方越来越多的关注,除了基于SQL注入、XSS、命令注入等传统攻击方式外,基于权限和行为的API滥用、盗用、权限绕过等手段也成为攻击者的常见操作。总结来说,目前API面临的安全威胁主要分为以下几类:
-
常规Web应用攻击,如SQL注入、XSS、命令注入等,通过攻击获取系统权限;
-
数据窃取,通过编写爬虫等方式高频次数据查询,窃取API接口的数据;
-
权限盗用,如通过系统本身逻辑缺陷、代理、劫持等手段获取调用权限,从而非法获取数据信息;
-
API接口自身的逻辑缺陷导致的安全威胁,如薅羊毛等行为大多是由于API的逻辑控制不足所导致;
-
针对API接口的类DDoS行为,如口令爆破、DDoS攻击等;
-
敏感信息泄漏,数据传输过程中未对敏感信息进行处置,例如电话、联系地址等信息。
针对API安全治理的几点建议
一、获取现有的全量API资产信息。此阶段通常以自动化学习与人工确认相结合的方式进行
二、针对API资产做统一梳理。特别需要针对僵尸API和老旧API资产,制定相应的全生命周期管理策略,避免其带来的安全隐患
三、为API资产定制专项防护策略。除传统的SQL注入、XSS、命令注入等方式外,需要结合业务特征来定制策略,例如针对API滥用和盗用行为,需要结合实际API的调用情况进行细颗粒度的配置
四、可实现快速应急响应处置。在出现API接口异常情况时,能快速进行响应处置,例如对指定API或整个服务进行下线处置,并且整个过程留存API调用相关审计记录。
API安全防护解决方案
通过被动流量分析,对业务流量进行采集、建模和数据分析,全面识别未知API、临时API、历史遗留API等“暗资产”并结合API资产导入,形成完整的API台账;通过对API的调用频率、趋势、请求次数等维度进行资产画像,形成API行为基线;利用安全语义引擎、机器学习引擎、规则检测引擎等核心技术,结合API盗用、滥用、数据脱敏、弱口令等防护策略,对API资产进行全方位的防护;在出现异常情况时,可以提供应急响应策略进行快速处置,构建完整的API资产全生命周期安全防护闭环管理体系。
