近幾年,說起攻防對抗,大家聊的最多的可能是0day、釣魚、供應鏈風險……對于一個黑客來說,如果他要挑一個既省事又好用的攻擊突破口,那首選恐怕就是API了。
API到底是什么?
API,中文名稱叫應用程序編程接口,是現代移動、SaaS 和 Web應用程序的一個關鍵組成部分。聽起來很晦澀難懂,但其實我們每個人的生活都會接觸 API:早上出門,打開手機看看天氣,天氣APP需要通過 API 提取數據;到了公司,被安排出差,趕緊上網查票,購票網站更新數據用的也是API;買好票后,打開OA提交流程,OA應用傳遞數據用的還是API……在數字經濟時代,不論是內部系統間的調用,還是各類數據匯集平臺,都大量使用了API。
為什么黑客對API情有獨鐘?
為什么API總被攻擊者盯上?概括來說,有三個原因:一、目標好找:API的職責就是應用之間的調用,天然就是公開且暴露的;二、攻擊潛在收益高:API攜帶大量重要數據和認證信息,一旦攻擊者成功突破 API,可直達核心系統。三、攻擊防范較困難:大量的API權限控制不夠精細,很容易被攻擊者找到漏洞,從而輕易繞過邊界防護。
由于API通常對應著大量高價值數據,也被各種自動化的爬蟲工具高度關注,平臺運營者飽受薅羊毛、數據竊取的干擾,而API的使用也常受到流量占用等威脅的影響,無法正常工作。
API安全防護怎么做?
在攻防對抗愈演愈烈的今天,怎樣讓API的安全保護更加精準、有效?傳統的API安全防護依賴API網關與WAF、IPS類防護產品的配合,方案整合復雜并且針對性不足,在實戰當中很容易漏防或誤報,近年來逐漸被專用的API檢測和攻擊防護系統所替代。
作為專用的API檢測和攻擊防護方案,盛邦安全API資產識別及主動防護方案為解決API安全防護問題提供了新的思路:
? 主被動結合的API資產發現能力,精準識別API資產攻擊面
API資產的暴露面很廣,但運營者往往不清楚自己有多少API,也不確定哪些是廢棄的、測試的或是有漏洞的,單純通過人工梳理或網關搜集很難理清,并且無法掌握狀態變化。
盛邦安全API資產識別及主動防護方案采用主被動結合的學習方式,可以全面識別API資產,一方面通過流量學習來梳理活躍的API數據;另一方面通過主動畫像的方式來發現暴露的API資產,同時記錄API的狀態變化并結合用途屬性進行分級分類,區分在用API、廢棄API、測試API、帶病API和未知API,最終形成動態更新的API資產清單。
? 基于機器學習的API攻擊訓練引擎,有效防范0day漏洞威脅
針對API的攻擊不同于傳統攻擊類型,并且API漏洞隱藏較深,通用的檢測方法難以形成有效防護。盛邦安全API資產識別及主動防護方案利用機器學習算法,構建了一套API攻擊訓練模型,通過持續積累和更新攻擊邏輯來訓練檢測引擎,形成對未知威脅的識別能力,有效防范0day漏洞的威脅。
? 基于人機識別的BOT攻擊檢測防護,全面防范業務安全風險
相比其他類型的資產而言,API資產訪問規則較為標準,因此更容易遭受BOT攻擊,除了加強對API使用權限的鑒別和管控之外,盛邦安全API資產識別及主動防護方案還利用人機識別的方法來發現各種自動化腳本、爬蟲工具和BOT工具,可以更準確地區分正常調用與非法爬取行為,從而抵御BOT攻擊的干擾,提升業務安全的保護能力。
除了部署專用的API檢測和攻擊防護方案之外,企業還需要強化API的數據保護,并進行流量限制,這對于防范數據外泄、避免 API 濫用行為有著重要意義。
盛邦安全將基于在安全技術方面的長期積累與創新,幫助企業更好地保護 API 的安全可靠,保證業務調用與協同的安全。
