應用程序編程接口是現代應用程序架構解決方案,可通過改進連接性和啟用可組合架構來支持數字業務。它們用于支持跨網絡、移動和其他渠道的現代用戶體驗。它們還支持內部流程、客戶和合作伙伴的集成和自動化。
在過去十年中,API 部署呈爆炸式增長,但隨著這種流行,惡意行為者也開始關注。許多 API 安全事件已經發生,尤其是數據泄露。這些事件提高了人們對 API 漏洞的認識,但由于由 API 交互組成的大量 Web 流量,攻擊和違規行為仍在繼續發生。
許多組織保護 API 流量的方式與保護其遺留應用程序的方式相同。但是,通用應用程序安全控制不足以保護 API 事務。安全和風險管理領導者必須與應用技術專家合作,建立并完善他們的 API 安全計劃,以應對這種日益增長的威脅形勢。
可見性:環境中存在哪些 API?
許多 API 泄露事件都有一個共同點:被泄露的組織直到為時已晚才知道他們的 API 不安全。API 安全的第一步是發現組織從第三方交付或使用的 API。
移動和 Web 應用程序是一個很好的起點。API 的另一個常見來源是應用程序集成,它涉及集成產品用來提供對應用程序或數據的訪問的 API。一些組織可能還有一個開放的 API 程序,包括開發人員門戶,并且必須保護這些公共 API。最后,考慮組織使用的任何第三方 API。
發現組織的 API 后,下一步是根據曝光度、業務環境和技術對它們進行分類。然后,確定 API 的潛在漏洞。最常見的 API 漏洞路徑包括:
- 存儲庫和存儲中的不安全 API 密鑰:API 密鑰或其他密鑰,例如 SSH 密鑰或 SSL/TLS 私鑰,可能會在基于云的存儲或對公眾開放的代碼存儲庫中被發現。
- 應用程序中的硬編碼 API 密鑰: API 密鑰或其他憑據可能在 Web 和移動應用程序中進行硬編碼,并在物聯網設備或移動應用程序中受到反編譯攻擊。
- API 邏輯缺陷:API 可能存在可被利用的錯誤或其他邏輯缺陷。
- 嗅探 API 調用:可以通過中間人方法嗅探 API 流量,從而發現 API 密鑰或不安全的 API。
訪問控制:誰在訪問 API,有什么訪問權限?
訪問控制是 API 安全的重要組成部分。它包含身份驗證(驗證主體身份的過程)和授權(確定主體是否有權訪問特定資源的過程)。
訪問控制功能中的漏洞通常是針對 API 的最常見攻擊點,會導致數據泄露、丟失和操縱。Web 應用程序歷來使用基本身份驗證(用戶名和密碼)來允許用戶訪問。當組織開始部署 API 時,通常會繼承這種機制。
成熟的組織使用現代 API 訪問控制機制。現代 API 訪問控制策略基于對組織用例的四個關鍵維度的評估:
- 身份功能:API 用例的身份功能是身份驗證、授權和加密。身份結構,即需要協調在一起以解決身份需求的工具,根據組織范圍內的身份功能而有所不同。
- 應用程序:移動應用程序、內部或外部服務、Web 應用程序和設備都是訪問受保護 API 的應用程序示例。這些應用程序通常由用戶或機器身份(例如服務帳戶)操作。不同的應用程序在如何驗證自己和操作它們的人類用戶方面具有不同的功能。
- 調解器:API 受調解器(如企業或內部 API 網關)以及更靈活的調解器(如部署在 API 附近的邊車)的保護。評估調解器的身份能力可確保 API 訪問策略包括調解器中的正確集成和執行。它還使組織能夠評估訪問管理工具對所用中介的支持。
- 開發人員支持:開發人員支持確保開發人員可以發布和控制他們自己的 API,并控制他們在他們的 API 中需要哪些屬性。同時,控制必須基于委托模型,在該模型中,中央團隊控制總體策略。了解開發人員支持維度可確保該策略包括正確的工具支持,例如開發人員自助服務界面。
為確保進行適當的風險評估和分類,請使用這些維度來定義組織的 API 訪問控制要求。
威脅防護:攻擊者如何利用API?
API 安全程序必須防范三種常見的攻擊模式:拒絕服務、濫用功能和漏洞利用。API 威脅保護由運行時或外圍技術組成,可識別和防止屬于這三類的攻擊。
典型的威脅防護技術包括:
- DDoS 保護:能夠處理容量攻擊的解決方案包括內容交付網絡或 CDN、基于云和設備的 Web 應用程序防火墻或 WAF,以及云清洗中心或 CSC 平臺。對于應用層 DoS 攻擊,具有 DoS 功能的硬件或基于云的 WAF 可能是合適的。一旦攻擊逐漸增加并開始淹沒網絡鏈接,就需要 CDN 或外部 CSC。
- WAF:一種解決方案,通過過濾和監控 HTTP 流量以阻止常見的漏洞利用攻擊,為 API 提供有限的保護。一些 WAF 還提供機器人緩解和應用程序或第 7 層 DDoS 保護。
- Bot 緩解:一種解決方案,可為多種類型的腳本攻擊提供高級保護。這些解決方案在這方面比一般的 WAF 更有能力,這使它們成為防止濫用的可能的首選或補充。
- 專門的 API 保護:通過結合參數和有效負載的內容檢查、流量管理和異常檢測的流量分析,提供針對 API 攻擊和濫用的保護的解決方案。
這些技術共同構成了 Web 應用程序和 API 保護或 WAAP 解決方案。除了 WAAP 功能外,組織還經常將 API 網關和管理系統添加到其基礎架構中。
隨著 API 威脅態勢的增長,應用程序安全領導者必須建立并完善他們的 API 安全計劃,以應對這種日益增長的威脅態勢。這種方法可以幫助組織建立全面的 API 可見性計劃,設置機制來檢查 API 是否符合組織的身份驗證和加密標準,并為關鍵的面向外部的 API 部署專門的威脅防護。
