您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
【調(diào)查】API安全成為威脅新趨勢(shì)
約66%的公司企業(yè)表示,由于API安全問(wèn)題,已延緩在生產(chǎn)環(huán)境中部署應(yīng)用。
近幾個(gè)月來(lái),研究人員第二次警示不安全應(yīng)用編程接口(API)對(duì)企業(yè)安全造成的威脅。
去年11月,咨詢公司佛瑞斯特研究就警告稱,公司企業(yè)未能像對(duì)付應(yīng)用程序漏洞一樣處理API漏洞,并因此造成自身越來(lái)越暴露在API相關(guān)安全漏洞的威脅之下。
今年3月初,安全公司Salt Security發(fā)布API安全報(bào)告,報(bào)告綜合了該公司針對(duì)200名IT及安全人員的調(diào)查反饋和來(lái)自該公司客戶的實(shí)證數(shù)據(jù)。
結(jié)果顯示,91%的受訪公司企業(yè)去年經(jīng)歷過(guò)API相關(guān)問(wèn)題。超過(guò)半數(shù)(54%)的受訪企業(yè)在其API中發(fā)現(xiàn)了漏洞,46%的受訪企業(yè)出現(xiàn)了身份驗(yàn)證問(wèn)題,而20%指出了爬蟲和數(shù)據(jù)抓取工具引發(fā)的問(wèn)題。
Salt Security副總裁Michelle McLean稱:“2020年最普遍的API安全事件就是在生產(chǎn)環(huán)境API中發(fā)現(xiàn)漏洞。”
調(diào)查結(jié)果顯示,盡管公司企業(yè)開始應(yīng)用安全左移原則,盡量在開發(fā)生命周期早期階段就集成安全控制措施,但這項(xiàng)工作仍未做到位。
“公司企業(yè)需補(bǔ)強(qiáng)在構(gòu)建和部署運(yùn)行時(shí)安全的過(guò)程中所用的安全戰(zhàn)術(shù)。”普遍程度僅次于生產(chǎn)環(huán)境API漏洞的安全事件主要圍繞身份驗(yàn)證問(wèn)題,攻擊者能夠以某種方式玩弄身份驗(yàn)證機(jī)制,獲取敏感數(shù)據(jù)。其他常見(jiàn)問(wèn)題還包括賬戶濫用和拒絕服務(wù)攻擊,也就是攻擊者發(fā)起足量受控API流量中斷API背后應(yīng)用的正常運(yùn)行。
McLean指出:“API是公司企業(yè)的一大風(fēng)險(xiǎn)來(lái)源。攻擊者目前正大肆利用API,而現(xiàn)有策略和技術(shù)并不足以提供充分的保護(hù)?!?/p>
應(yīng)用和應(yīng)用組件能夠借助API在內(nèi)部網(wǎng)絡(luò)上相互通信,且照目前趨勢(shì)看來(lái),應(yīng)用和應(yīng)用組件之間的通信將更多依賴API在互聯(lián)網(wǎng)上進(jìn)行。最初,API一般用在安全私有網(wǎng)絡(luò)和信道上。如今,越來(lái)越多的公司企業(yè)利用API將內(nèi)部應(yīng)用和原有系統(tǒng)及服務(wù)通過(guò)互聯(lián)網(wǎng)共享給客戶、合作伙伴、供應(yīng)商和其他第三方。公司企業(yè)用于內(nèi)部應(yīng)用互聯(lián)和連接外部世界的API可能多達(dá)成百上千個(gè)。安全分析師曾經(jīng)指出,如果防護(hù)不周,API相當(dāng)于為外部人員訪問(wèn)公司關(guān)鍵數(shù)據(jù)和應(yīng)用提供了直接通道。
攻擊者最常用的API漏洞利用手法,是篡改用戶身份標(biāo)識(shí)(ID)號(hào)等API可能有權(quán)訪問(wèn)的對(duì)象。
McLean舉例稱:“攻擊者通過(guò)身份驗(yàn)證登錄應(yīng)用,用他們自己的ID發(fā)起通信,然后在一系列后續(xù)API調(diào)用中將此用戶ID對(duì)象改成另一個(gè)用戶ID。然后他們就能訪問(wèn)與此另一ID相關(guān)聯(lián)的敏感信息了?!?/p>
? API安全陰霾籠罩
Salt Security的調(diào)查發(fā)現(xiàn),由于API安全相關(guān)的顧慮,三分之二的公司企業(yè)放緩了往生產(chǎn)環(huán)境推出新應(yīng)用的腳步。該公司的客戶數(shù)據(jù)顯示,從去年6月到12月,每月每客戶遭遇的API攻擊數(shù)量從50次驟增到80次。另外,Salt Security客戶的月度平均API調(diào)用規(guī)模增長(zhǎng)51%的同時(shí),惡意流量卻暴增了211%。
McLean表示,攻擊者利用這些惡意API流量來(lái)染指API連接的數(shù)據(jù),或者中斷API賦能的服務(wù)。舉個(gè)例子,攻擊者會(huì)在API調(diào)用期間修改賬戶號(hào),或者操縱API調(diào)用插入成百上千個(gè)可能的憑證,以期匹配幾個(gè)已有真實(shí)憑證。
Salt Security的調(diào)查還反映出,即使趨勢(shì)明顯,很多公司企業(yè)對(duì)待此類問(wèn)題的態(tài)度還是相對(duì)無(wú)動(dòng)于衷:超過(guò)四分之一(27%)的受訪企業(yè)承認(rèn)根本沒(méi)有應(yīng)對(duì)API安全問(wèn)題的策略,54%的受訪企業(yè)認(rèn)為自己的策略最多達(dá)到基礎(chǔ)水平。83%的受訪企業(yè)坦陳不了解自身API使用情況,82%不確定自己是否清楚那些暴露PII、持卡人信息和其他敏感信息的API。
超過(guò)20%的受訪企業(yè)承認(rèn)無(wú)法了解到底哪些API暴露了個(gè)人可識(shí)別信息,還有很多企業(yè)表示自身最大的顧慮是網(wǎng)絡(luò)上普遍存在過(guò)時(shí)僵尸API。
McLean認(rèn)為,解決這些問(wèn)題需要一套完備的API安全策略。這意味著建立起保護(hù)整個(gè)API生命周期的機(jī)制。公司企業(yè)需設(shè)置在構(gòu)建階段、部署階段和生產(chǎn)環(huán)境運(yùn)行階段驗(yàn)證API的控制措施。
此外,還應(yīng)考慮培育API編寫團(tuán)隊(duì)和API所連數(shù)據(jù)與服務(wù)的安全防護(hù)團(tuán)隊(duì)之間的協(xié)作。
“開發(fā)人員不具備安全團(tuán)隊(duì)那種‘攻擊者思維’,而安全團(tuán)隊(duì)并不天天編程,不像開發(fā)人員那么熟悉API結(jié)構(gòu)?!?/p>
只有確保兩個(gè)團(tuán)隊(duì)相互協(xié)作,才能充分保護(hù)好企業(yè)API。
Salt Security調(diào)查報(bào)告:https://salt.security/api-security-trends
關(guān)鍵詞:API安全
來(lái)源:數(shù)世咨詢