威脅情報(bào)和API安全方案廠商永安在線近日發(fā)布了2022年第三季度的《API安全研究報(bào)告》，該報(bào)告基于永安在線情報(bào)系統(tǒng)在當(dāng)季發(fā)現(xiàn)的一手API攻擊事件匯集而成,，從實(shí)際發(fā)生的風(fēng)險(xiǎn)來反映當(dāng)下API安全的風(fēng)險(xiǎn)態(tài)勢(shì),。報(bào)告內(nèi)容顯示，當(dāng)前我國(guó)API安全形勢(shì)依然嚴(yán)峻,，對(duì)企業(yè)的業(yè)務(wù)和數(shù)據(jù)安全帶來極大挑戰(zhàn),。

　　針對(duì)API的攻擊數(shù)量仍處高位

　　覆蓋金融、政務(wù)等諸多行業(yè)

　　結(jié)合永安在線此前發(fā)布的一,、二季度API安全報(bào)告可以發(fā)現(xiàn),，在2022年的前三個(gè)季度，遭受攻擊的API數(shù)量平均每月超過20萬個(gè),。

　　另外,，針對(duì)API的攻擊幾乎遍布各個(gè)行業(yè)，其中金融,、政務(wù)平臺(tái),、游戲行業(yè)等依然是攻擊者主要目標(biāo)。報(bào)告指出,，由于金融,、政務(wù)平臺(tái)的用戶數(shù)據(jù)和公民個(gè)人隱私數(shù)據(jù)等信息具有極高的獲利價(jià)值，因此長(zhǎng)期以來一直是黑產(chǎn)交易中的熱門“商品”,，這也刺激著攻擊者不斷對(duì)這些行業(yè)發(fā)動(dòng)輪番攻擊,。游戲行業(yè)則是另外一個(gè)重災(zāi)區(qū)，依據(jù)永安在線蜜罐所捕獲到的攻擊流量數(shù)據(jù),，Q3存在大量針對(duì)游戲平臺(tái)注冊(cè),、登錄,、找回密碼等API接口的攻擊流量，涉及掃號(hào),、撞庫(kù),、暴破攻擊等。

　　顯然,，無論是從API攻擊的整體趨勢(shì),，還是對(duì)企業(yè)以及用戶的影響，都是不容樂觀的,。由此不難看出,，我國(guó)API安全風(fēng)險(xiǎn)的整體態(tài)勢(shì)依然趨于嚴(yán)峻，而隨著數(shù)字化進(jìn)程的不斷推進(jìn),，這一趨勢(shì)恐將仍會(huì)延續(xù)較長(zhǎng)一段時(shí)間,。

　　業(yè)務(wù)風(fēng)險(xiǎn)+合規(guī)風(fēng)險(xiǎn)

　　API安全問題可致企業(yè)遭受沉重后果

　　不可否認(rèn)的是，隨著近些年國(guó)家對(duì)于安全的重視程度以及相關(guān)法律法規(guī)及政策的出臺(tái),，大家對(duì)于安全的認(rèn)知較之以往大幅增強(qiáng)，但從全面性角度衡量仍有不足,。相比于解決木馬病毒,、滲透入侵等風(fēng)險(xiǎn)的基礎(chǔ)安全建設(shè)，API架構(gòu)的安全并未得到足夠的重視,，這里我們要強(qiáng)調(diào)的是,，API安全風(fēng)險(xiǎn)所能帶來的后果同樣不可小覷。

　　首先是業(yè)務(wù)風(fēng)險(xiǎn),，以營(yíng)銷作弊,、賬號(hào)攻擊等場(chǎng)景較為突出。在永安在線本年度所發(fā)布的前三季度報(bào)告中,，營(yíng)銷作弊是API攻擊中占比最高的場(chǎng)景,。營(yíng)銷作弊會(huì)給平臺(tái)帶來大量的虛假用戶，短期內(nèi)似乎“促進(jìn)”了用戶增長(zhǎng),，但這種虛假繁榮會(huì)嚴(yán)重阻礙平臺(tái)及真正用戶的利益,，也不利于整個(gè)行業(yè)的健康發(fā)展。

　　以某數(shù)字藏品平臺(tái)API攻擊為例,，攻擊者利用該平臺(tái)API接口存在安全缺陷（包括明文傳輸用戶名和密碼等接口參數(shù)）,，偽造相關(guān)API接口請(qǐng)求，從而套取活動(dòng)中的獎(jiǎng)勵(lì),。下圖為攻擊者偽造注冊(cè)接口請(qǐng)求：

　　賬號(hào)攻擊是API攻擊的另一突出場(chǎng)景,。以某游戲平臺(tái)遭規(guī)模化API攻擊案例所示,，專業(yè)攻擊團(tuán)伙利用掃號(hào),、撞庫(kù)等行為對(duì)平臺(tái)API接口發(fā)起攻擊，盜取大量用戶賬號(hào)，從而竊取用戶在游戲中的虛擬資產(chǎn),，除了給游戲玩家自身造成難以挽回的損失之外,，該游戲平臺(tái)也將面臨大量的用戶投訴乃至用戶流失等問題，還可能會(huì)給后續(xù)業(yè)務(wù)推進(jìn),、擴(kuò)張帶來阻力,，為企業(yè)營(yíng)收增長(zhǎng)和未來發(fā)展制造障礙。

　　其次是合規(guī)風(fēng)險(xiǎn),。事實(shí)上,，因API遭攻擊導(dǎo)致數(shù)據(jù)泄露的事件并不少見，Gartner此前也曾預(yù)測(cè),，API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見攻擊媒介,。

　　此次報(bào)告最新案例提到，某銀行信用卡在線業(yè)務(wù)申卡進(jìn)度查詢,，API 接口只需要傳入任意身份證號(hào),，不需要經(jīng)過身份驗(yàn)證，便可以查詢對(duì)應(yīng)身份人是否有在該銀行辦理信用卡,，以及申請(qǐng)時(shí)間,、狀態(tài)、產(chǎn)品等用戶信息,。犯罪分子根據(jù)這些信息可以包裝出更加“真實(shí)”的詐騙場(chǎng)景和話術(shù),，實(shí)施精準(zhǔn)詐騙，受害者往往更容易上當(dāng)受騙,。雖然永安在線指出該案例并未直接泄露用戶手機(jī)號(hào),，但黑產(chǎn)攻擊其他平臺(tái)可以獲取到相關(guān)手機(jī)號(hào)。

　　此前,，永安在線曾監(jiān)測(cè)到多起針對(duì)數(shù)字政務(wù)平臺(tái)的惡意攻擊事件,，攻擊者利用政務(wù)平臺(tái)注冊(cè)、查詢等業(yè)務(wù)場(chǎng)景存在API邏輯缺陷進(jìn)行攻擊,，從而獲取到平臺(tái)用戶身份證,、手機(jī)號(hào)、姓名,、地址等個(gè)人隱私信息,。下圖為某地區(qū)新冠疫苗接種信息查詢平臺(tái)API泄露信息：

　　通過這些案例可以看出，因API問題導(dǎo)致數(shù)據(jù)泄露并不少見,，隨著我國(guó)相關(guān)法律法規(guī)的日趨完善,，對(duì)造成數(shù)據(jù)泄漏的企業(yè)及直接負(fù)責(zé)人的處罰力度也逐漸加強(qiáng)：

　　如2021年9月施行的《數(shù)據(jù)安全法》中，最高罰款額度高達(dá)1000萬元,；在2021年11月施行的《個(gè)人信息保護(hù)法》中,，最高罰款額度最高達(dá)到了5000萬元或上一年度營(yíng)業(yè)額的5%,。需特別強(qiáng)調(diào)的是，在2022年9月發(fā)布的《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定（征求意見稿）》顯示,，預(yù)計(jì)將現(xiàn)行《網(wǎng)絡(luò)安全法》中最高罰款額度為100萬元的條款,，調(diào)整為最高罰款額度為5000萬元或上一年度營(yíng)業(yè)額5%，力度與《個(gè)人信息保護(hù)法》完全一致,。此外,，可責(zé)令企業(yè)暫停相關(guān)業(yè)務(wù)、停業(yè)整頓,、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處罰款以及一定期限的從業(yè)禁止處罰。

　　但在這些風(fēng)險(xiǎn)背后,，我們也應(yīng)看到,，作為數(shù)字化時(shí)代的重要信息基礎(chǔ)設(shè)施之一，API承載著業(yè)務(wù)邏輯及數(shù)據(jù)交互的重要作用,，因此不能因前文提到的風(fēng)險(xiǎn)而以“一刀切”的方式去繞開它,，擺在面前的只有一條路——重視并加強(qiáng)API安全建設(shè)，讓其盡可能在安全的狀態(tài)下為企業(yè),、社會(huì),、國(guó)家發(fā)展創(chuàng)造價(jià)值。

　　加強(qiáng)API安全建設(shè)需走出誤區(qū)

　　提升內(nèi)部重視程度+引入外部專業(yè)工具“兩手抓”

　　安全419迄今已同諸多企業(yè)用戶,、安全廠商針對(duì)API安全話題進(jìn)行溝通和交流,，發(fā)現(xiàn)導(dǎo)致API安全建設(shè)未能做好的原因很多,，其中比較典型的主要體現(xiàn)在以下幾個(gè)方面：

　　01 認(rèn)為傳統(tǒng)的防護(hù)手段或設(shè)備（如主流的WAF,、API網(wǎng)關(guān)等）足以應(yīng)對(duì)當(dāng)前的API安全風(fēng)險(xiǎn)，實(shí)際上,，傳統(tǒng)的安全防護(hù)手段主要以邊界安全為主,，在安全能力無法覆蓋到API敏感數(shù)據(jù)的保護(hù)，從而導(dǎo)致API數(shù)據(jù)泄露和違規(guī)訪問的風(fēng)險(xiǎn)依然無法規(guī)避,。這里以WAF和API網(wǎng)關(guān)舉例：

　　● 主流的WAF等產(chǎn)品目前更多的是覆蓋客戶端和服務(wù)器之間的南北向流量,，而對(duì)不同服務(wù)器或數(shù)據(jù)中心之間的東西向流量卻是一個(gè)盲區(qū)。

　　● API網(wǎng)關(guān)雖可以在解決授權(quán)及認(rèn)證方面表現(xiàn)出一定的能力,，但并不是所有的API都會(huì)在網(wǎng)關(guān)注冊(cè),，而業(yè)務(wù)上會(huì)存在大量的影子API。同時(shí),，它仍然無法做到感知和防御海量虛假號(hào)碼及秒撥代理發(fā)起的低頻攻擊,。

　　因此，傳統(tǒng)的防護(hù)手段和設(shè)備并非無用,，但面對(duì)當(dāng)下的API安全問題顯然捉襟見肘,。

　　02 具有僥幸心理,，認(rèn)為攻擊者不會(huì)盯上自己。需強(qiáng)調(diào)的是,，當(dāng)前大多數(shù)網(wǎng)絡(luò)攻擊都是有組織的團(tuán)隊(duì)且利用自動(dòng)化工具發(fā)動(dòng)攻擊,，一旦這些工具在網(wǎng)絡(luò)中發(fā)現(xiàn)了可被利用的漏洞，就會(huì)直接發(fā)起攻擊,。在這種情況下,，相信每一個(gè)企業(yè)都可能是攻擊者眼中的目標(biāo)。

　　考慮到安全的攻防對(duì)抗本質(zhì),，做安全是沒有終點(diǎn)的,，只能是不斷地提升再提升，但“加強(qiáng)”二字說來容易,，如何做呢,？在我們看來，要著重做到以下“兩手抓”：

　　● 提升對(duì)API安全風(fēng)險(xiǎn)的重視程度,，將API安全管理納入整體安全建設(shè)之中,。

　　在我們看來，這一點(diǎn)對(duì)企業(yè)的API安全建設(shè)及提高風(fēng)險(xiǎn)防護(hù)能力水平有著決定性作用,。從管理者到相關(guān)的員工有必要真正意識(shí)到API安全風(fēng)險(xiǎn)及其危害性,，包括上述的業(yè)務(wù)風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)，并將API安全管理體現(xiàn)在企業(yè)網(wǎng)絡(luò)安全管理制度之中,。規(guī)避API安全建設(shè)誤區(qū)（如過高信賴傳統(tǒng)安全措施對(duì)當(dāng)前API風(fēng)險(xiǎn)的防護(hù)能力等）,，杜絕僥幸心理。

　　● 引入專業(yè)API安全管理工具,，積極以新技術(shù),、新思路、新方法應(yīng)對(duì)風(fēng)險(xiǎn),。

　　坦率地說,，多數(shù)企業(yè)都不具備獨(dú)自完成較為全面的API安全能力研發(fā)和建設(shè)，因而快速有效的方式是通過引入成熟的工具,、產(chǎn)品或解決方案,，用專業(yè)力量化解專業(yè)問題，用新技術(shù),、新思路,、新方法應(yīng)對(duì)風(fēng)險(xiǎn)。

　　以業(yè)務(wù)優(yōu)先為原則

　　基于情報(bào)建立API安全基線應(yīng)對(duì)風(fēng)險(xiǎn)與挑戰(zhàn)

　　為幫助企業(yè)用戶更好地應(yīng)對(duì)當(dāng)前API安全挑戰(zhàn),，永安在線于2021年正式推出了API安全管控平臺(tái),，該平臺(tái)以頗具創(chuàng)新性的“基于情報(bào)建立API安全基線”理念，有效地幫助企業(yè)實(shí)現(xiàn)對(duì)其API資產(chǎn)的全面盤點(diǎn),、預(yù)防發(fā)現(xiàn)阻斷API攻擊,、提升風(fēng)險(xiǎn)事件的響應(yīng)速度以及防止流動(dòng)敏感數(shù)據(jù)泄漏,，幫助企業(yè)構(gòu)建可預(yù)防、可解釋,、可溯源的API安全管理體系,。

　　“業(yè)務(wù)優(yōu)先、解決可見性,、整體可控是做好API安全建設(shè)的原則,。”永安在線COO邵付東于此前接受安全419采訪時(shí)指出,，在業(yè)務(wù)優(yōu)先的基礎(chǔ)上,，企業(yè)需要對(duì)上線的 API 進(jìn)行整體地梳理，要?jiǎng)?wù)是實(shí)現(xiàn)對(duì)所有 API 資產(chǎn)的可視,，再進(jìn)行持續(xù)的 API 漏洞評(píng)估和及時(shí)感知 API 攻擊風(fēng)險(xiǎn),，實(shí)現(xiàn) API 風(fēng)險(xiǎn)的可控。

　　首先,，在資產(chǎn)梳理方面

　　永安在線API安全管控平臺(tái)能夠以持續(xù)動(dòng)態(tài)的方式去梳理API資產(chǎn)和API上流動(dòng)的敏感數(shù)據(jù),，做到只要有API上線或開始服務(wù)就可被快速識(shí)別出來，并第一時(shí)間將資產(chǎn)信息同步給相關(guān)業(yè)務(wù)或者安全人員,。不難看出,，該平臺(tái)在解決可見性，保證整體可控的同時(shí),，真正做到了業(yè)務(wù)優(yōu)先,。

　　此外，永安在線所獨(dú)有的結(jié)合外部情報(bào)對(duì)流量分析能力,，可對(duì)API識(shí)別引擎不斷更新和完善,，為更進(jìn)一步提升API梳理的準(zhǔn)確性提供了保障。據(jù)介紹,，永安在線API安全管控平臺(tái)的API資產(chǎn)識(shí)別率高達(dá)97.8%,，敏感數(shù)據(jù)識(shí)別準(zhǔn)確率更是達(dá)到了98.5%,。

　　其次,，在風(fēng)險(xiǎn)感知方面

　　通過情報(bào)（如攻擊者利用的IP、自動(dòng)化工具等資源）構(gòu)建API安全行為基線,，可更有效地感知外部API風(fēng)險(xiǎn),，且具有誤判率低、可用性更高的特點(diǎn),。據(jù)介紹,，目前永安在線API安全管控平臺(tái)風(fēng)險(xiǎn)事件預(yù)警的精準(zhǔn)度平均值可達(dá)97.66%。同時(shí),，基于情報(bào)能力可持續(xù)跟蹤攻擊者如何利用在野漏洞來進(jìn)行攻擊,，通過對(duì)新型攻擊面和攻擊特征的分析,，持續(xù)優(yōu)化API漏洞檢測(cè)引擎，全面覆蓋API的邏輯漏洞及開源系統(tǒng)API的未授權(quán)漏洞等,。

　　值得一提的是,，對(duì)API風(fēng)險(xiǎn)的感知能力也是今年永安在線著重加強(qiáng)的內(nèi)容，一是“蜜罐能力”的提升,，通過加大全網(wǎng)蜜罐部署點(diǎn)以及優(yōu)化,，在針對(duì)API接口的高風(fēng)險(xiǎn)攻擊事件（如敏感數(shù)據(jù)爬取、低頻撞庫(kù)攻擊,、營(yíng)銷賬號(hào)攻擊等）捕獲能力上有了極大提升,；二是在黑產(chǎn)工具識(shí)別能力的提升，通過對(duì)惡意代碼分析引擎的優(yōu)化,，不僅可以識(shí)別更多類型的黑產(chǎn)工具,，還可自動(dòng)化提取被攻擊的API接口和攻擊特征，從而大幅提升了風(fēng)險(xiǎn)感知效率,。

　　最后,，在威脅處置方面

　　該平臺(tái)同樣有著出色表現(xiàn)，重點(diǎn)體現(xiàn)在兩方面：一是在響應(yīng)處置方面,，基于精準(zhǔn)預(yù)警輸出的攻擊者IOC情報(bào),，平臺(tái)可在第一時(shí)間聯(lián)動(dòng)WAF或風(fēng)控系統(tǒng)等設(shè)備予以快速處置，進(jìn)而將針對(duì)API的攻擊徹底阻斷,；二是針對(duì)已泄露數(shù)據(jù)的溯源方面,，該平臺(tái)可針對(duì)泄漏數(shù)據(jù)進(jìn)行溯源分析，可精確定位到關(guān)聯(lián)數(shù)據(jù)訪問的賬號(hào),、API,、IP等，追蹤數(shù)據(jù)泄漏源頭,，為企業(yè)進(jìn)行下一步處置提供可靠依據(jù),。

　　在實(shí)際應(yīng)用方面，永安在線API安全管控平臺(tái)目前已廣泛落地于包括金融,、互聯(lián)網(wǎng),、醫(yī)療、教育,、制造等諸多行業(yè)和領(lǐng)域,，解決問題的能力和水平也廣受認(rèn)可，表現(xiàn)值得肯定,。

　　正如永安在線在報(bào)告中所指出的,，API 作為應(yīng)用程序之間、應(yīng)用與用戶之間交互的橋梁,，承載著企業(yè)的業(yè)務(wù)邏輯和大量敏感數(shù)據(jù),，在數(shù)字時(shí)代呈爆發(fā)式增長(zhǎng),，圍繞 API 安全的探索必定是當(dāng)下不可回避的話題?？傮w來看,，盡管API安全風(fēng)險(xiǎn)所能造成的后果可能會(huì)極為嚴(yán)重，且API安全管理當(dāng)前也面臨諸多的痛點(diǎn),、難點(diǎn),，但對(duì)于廣大的政企用戶而言并非缺乏對(duì)策，一是要從自身內(nèi)部入手,，對(duì)API安全風(fēng)險(xiǎn)建立正確認(rèn)知,，這是能夠建立起有效API安全防護(hù)能力的必要前提；二是要借鑒國(guó)內(nèi)同行及安全企業(yè)的最佳實(shí)踐,，通過引入專業(yè)的API管理工具,、產(chǎn)品或解決方案，快速建立起真正有效的API安全防線,。同時(shí)也希望包括以永安在線為代表的安全企業(yè)們,，能夠始終堅(jiān)持創(chuàng)新，不斷推陳出新,，助力企業(yè)用戶構(gòu)建完善的 API 安全防護(hù)體系,，為其業(yè)務(wù)數(shù)字化轉(zhuǎn)型保駕護(hù)航。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<