為什么 API 攻擊不斷增加以及如何避免它們

與其說我們面臨的是機器人問題,不如說是潛在的數(shù)據(jù)泄露問題。這就是我們最擔(dān)心的,不受限制地訪問數(shù)據(jù)。作為一家能源公司,我們掌握了大量的個人信息。

1.png

本文來自微信公眾號“網(wǎng)絡(luò)研究院”。

澳大利亞能源公司Jemena已經(jīng)以某種形式使用API大約十年了。API(應(yīng)用程序編程接口)的使用最近大幅增加,預(yù)計在未來幾年內(nèi)將增加五倍。

現(xiàn)在一切都是API優(yōu)先,而不是事后的想法。

Jemena正在使用API與業(yè)務(wù)合作伙伴以及面向客戶的應(yīng)用程序共享信息。甚至市場運營商和監(jiān)管機構(gòu)也在轉(zhuǎn)向API。去年,一切都在加速發(fā)展——API化。

這給公司帶來了新的安全問題。API的特點是它們旨在提供對數(shù)據(jù)的高效訪問。如果攻擊者能夠破壞API,他們可能會在很短的時間內(nèi)泄露大量數(shù)據(jù)。

Web應(yīng)用程序安全的傳統(tǒng)方法側(cè)重于防止機器人訪問,但不適用于API安全,因為根據(jù)定義,所有API請求都是機器對機器的。

與其說我們面臨的是機器人問題,不如說是潛在的數(shù)據(jù)泄露問題。這就是我們最擔(dān)心的,不受限制地訪問數(shù)據(jù)。作為一家能源公司,我們掌握了大量的個人信息。

Jemena是一家擁有3200名員工的公司,為超過35萬個家庭和企業(yè)提供電力,并為超過150萬客戶提供天然氣。除了通常的個人身份信息外,還有醫(yī)療敏感數(shù)據(jù),例如哪些客戶擁有生命支持設(shè)備或其他特殊要求。某些類型的數(shù)據(jù)受到監(jiān)管限制,不得發(fā)送到海外,或者只能與某些已知方共享。

WAF的有效性存在限制

該公司的Web應(yīng)用程序受到Web應(yīng)用程序防火墻(WAF)的保護,但WAF的功能有限。API的配置文件與WAF傳統(tǒng)上防范的內(nèi)容不同,您確實期望收到大量請求,而WAF無法防范業(yè)務(wù)邏輯攻擊。

相反,Jemena需要的是一種安全工具,可以查看每個API請求的具體情況以及發(fā)送請求的機器的行為,并可以區(qū)分好機器人和壞機器人。

有很多較老的機器人攔截公司,但沒有很多原生API安全解決方案,事情可能正在發(fā)生變化,明年市場將會發(fā)生很大變化。

去年年底,Jemena開始尋找與公司已有的安全系統(tǒng)集成的解決方案,最終選擇了Salt Security。該系統(tǒng)采用行為方法來確保API安全。你必須了解數(shù)據(jù)的形狀,以及請求是否符合你期望的形狀。

新工具能夠了解公司API流量的模式,找出標(biāo)準(zhǔn)請求的樣子,然后查找與該模式的偏差。它位于Web應(yīng)用程序防火墻后面,但也連接到公司的安全信息和事件管理系統(tǒng)Splunk。Salt確實有自己的儀表板。但我們并沒有在Salt本身上花費太多時間,我們花時間在Splunk上查看生成的內(nèi)容。

API安全異常檢測方法的一個潛在缺點是Web應(yīng)用程序經(jīng)常變化,相應(yīng)的API流量也會變化。隨著API數(shù)量的增加,我們將非常密切地監(jiān)控情況。

Jemena并不是唯一一家擔(dān)心API安全性的公司,這是有充分理由的。API極大地擴展了攻擊者獲取敏感數(shù)據(jù)和系統(tǒng)的方式。它們特別難以保護。幸運的是,包括人工智能在內(nèi)的新技術(shù)開始幫助企業(yè)應(yīng)對這一威脅。

最近的API泄露凸顯了API風(fēng)險

根據(jù)API安全公司FireTail 2023年5月的一份報告,超過5億條記錄已通過易受攻擊的API泄露,并且2023年有望成為API泄露事件創(chuàng)歷史新高的一年。

以下是今年一些最突出的事件:

一月份,我們了解到豐田、梅賽德斯、寶馬和其他十幾個汽車品牌的API相關(guān)漏洞。不過,遠程信息處理系統(tǒng)中的漏洞不僅僅暴露了客戶數(shù)據(jù)。研究人員Sam Curry在報告中寫道:“如果攻擊者能夠發(fā)現(xiàn)車輛遠程信息處理系統(tǒng)使用的API端點中的漏洞,他們就可以按喇叭、閃燈、遠程跟蹤、鎖定和解鎖以及啟動和停止車輛,完全遠程。”

同月,T-Mobile向SEC承認,黑客利用API竊取了3700萬客戶的數(shù)據(jù)。今年2月,Trustwave研究人員發(fā)現(xiàn)Finsify的Money Lover個人理財應(yīng)用程序泄露了超過500萬用戶的電子郵件地址和錢包名稱。

今年春天,CISA發(fā)布了有關(guān)Nexx車庫門控制器和智能警報器的公告。超過40,000臺設(shè)備被發(fā)現(xiàn)存在多個API漏洞,這意味著攻擊者可以竊取物理地址、打開車庫門和關(guān)閉警報等個人信息。

6月,Patchstack研究人員報告稱,最流行的WordPress WooCommerce支付插件WooCommerce Stripe Gateway存在一個API漏洞,允許未經(jīng)身份驗證的用戶查看任何訂單的敏感數(shù)據(jù),包括電子郵件和完整地址。當(dāng)時,該插件擁有超過90萬用戶,其中一半使用的是存在漏洞的版本。

同樣在6月,伊頓工廠的一名研究人員成功攻破了本田草坪和花園經(jīng)銷商電子商務(wù)平臺API,使他能夠重置任何帳戶的密碼,并獲得完整的客戶信息、經(jīng)銷商信息、支付密鑰和內(nèi)部財務(wù)報告??偣灿薪?0,000條暴露記錄。

今年7月,JumpCloud向超過180,000家企業(yè)提供基于云的目錄即服務(wù)軟件,“出于對正在發(fā)生的事件的高度謹(jǐn)慎”,更改了其API密鑰。

這只是今年迄今為止披露的一些漏洞,不知道還有多少漏洞沒有被公司披露。但我們可以猜測。Enterprise Strategy Group對近400個組織進行了調(diào)查,發(fā)現(xiàn)92%的組織在過去12個月內(nèi)至少經(jīng)歷過一起與不安全API相關(guān)的安全事件。

為什么API安全事件變得越來越常見

首先,將API暴露給網(wǎng)絡(luò)請求會顯著增加攻擊面。攻擊不再需要訪問本地系統(tǒng),而是可以遠程攻擊API。

更糟糕的是,API的設(shè)計目的是易于查找和使用,它們是“自我記錄的”并且通常基于通用標(biāo)準(zhǔn)。這使它們?yōu)殚_發(fā)人員帶來了便利,但同時也是黑客的主要目標(biāo)。

由于API旨在幫助應(yīng)用程序相互通信,因此它們通??梢栽L問核心公司數(shù)據(jù),例如財務(wù)信息或交易記錄。面臨風(fēng)險的不僅僅是數(shù)據(jù)本身。API文檔還可以讓外部人員了解業(yè)務(wù)邏輯。這種洞察力可能會讓發(fā)現(xiàn)業(yè)務(wù)流程中的弱點變得更加容易。

然后是數(shù)量問題。部署基于云的應(yīng)用程序的公司不再部署具有單個進出接入點的單一整體應(yīng)用程序。相反,它們由小型組件(數(shù)十個、數(shù)百個甚至數(shù)千個)組成,所有這些組件都通過API相互通信。

根據(jù)Salt Security的3月份API安全狀況報告,59%的組織管理著超過100個API,其中9%的組織擁有超過1000個API,而27%的組織的API數(shù)量比去年增加了一倍多。這些API中的16%現(xiàn)在每月處理超過5億個請求,而六個月前為11%。每個API連接都是威脅參與者的潛在訪問點,需要進行保護、身份驗證和訪問控制。

有各種標(biāo)準(zhǔn)可供選擇,但實施起來可能很復(fù)雜,以O(shè)Auth身份驗證和授權(quán)協(xié)議為例,這是Google、Microsoft、Facebook和其他社交身份驗證主要參與者支持的開放標(biāo)準(zhǔn)。

今年春天,Salt Security的研究人員發(fā)現(xiàn)實施該協(xié)議很容易出錯。例如,旅游網(wǎng)站Booking.com允許未經(jīng)授權(quán)的人使用Facebook登錄進入任何人的Booking.com帳戶。此外,根據(jù)Salt Security 3月份的API安全報告,78%的API相關(guān)攻擊來自惡意實現(xiàn)看似合法身份驗證的攻擊者。

然后就是序列化問題。此時文件會被分成更小的部分,以便可以通過API進行傳輸。每個單獨的片段本身可能是無害的,但是,當(dāng)重建回完整的對象時,它可能會變成惡意軟件。這導(dǎo)致了反序列化漏洞,允許攻擊者執(zhí)行任意代碼。

最后,部署和更新API的便捷性意味著安全團隊并不總是像應(yīng)有的那樣處于循環(huán)狀態(tài)。根據(jù)ESG調(diào)查,75%的組織每周甚至更頻繁地更新其API。在某些情況下,甚至可能不知道API的存在,這就產(chǎn)生了一種新型的影子IT,影子API,它沒有得到適當(dāng)?shù)谋Wo、監(jiān)控和控制。

這是一個很難解決的問題。當(dāng)我們考慮云原生開發(fā)時,開發(fā)人員不必到IT部門來配置他們的計算資源。他們自己建造。很多時候,他們面臨著按時交付的壓力。然后他們更新、更新、再更新。人們即使知道存在漏洞也會進行部署,因為他們認為可以在攻擊者識別之前修復(fù)該漏洞。

這使組織面臨很大的風(fēng)險。當(dāng)不再使用API時,這些風(fēng)險不會消失。根據(jù)Salt調(diào)查,54%的公司高度關(guān)注過時或“僵尸”API。這些連接不再使用或管理,但未正確停用,因此攻擊者仍然可以利用它們。

API安全挑戰(zhàn)

API生態(tài)系統(tǒng)的規(guī)模、復(fù)雜性和快速變化的性質(zhì)帶來了幾個主要的安全挑戰(zhàn)。最令人擔(dān)憂的是身份驗證。對于任何類型的聯(lián)系來說,這都是一個基本的事情,確保它經(jīng)過驗證。

身份驗證和授權(quán)問題占OWASP Top 10 API安全風(fēng)險中的四項,該風(fēng)險于今年7月更新。根據(jù)FireT a il API數(shù)據(jù)泄露跟蹤器的數(shù)據(jù),今年迄今為止的12起公共API泄露事件中的每一起都至少涉及一個身份驗證或授權(quán)漏洞。

正如Bookings.com的OAuth問題所表明的那樣,身份驗證很容易出錯。ESG調(diào)查顯示,API身份驗證問題是企業(yè)在部署API時最擔(dān)心的問題,88%的受訪者表示這是一個嚴(yán)重或中等的問題。

另一個問題是識別關(guān)鍵數(shù)據(jù)以及它如何在API生態(tài)系統(tǒng)中移動。建議企業(yè)找出最敏感的數(shù)據(jù)在哪里,根據(jù)哪些人可以訪問該數(shù)據(jù)來優(yōu)先考慮API安全性。不幸的是,公司通常手動執(zhí)行此操作,這是一個緩慢且容易出錯的過程。確實需要自動化、工具和流程來確保您可以找到API并了解API之間的關(guān)系以及它們所連接的內(nèi)容。

對于內(nèi)部API和第三方API來說,缺乏可見性是公司面臨的一個主要問題。你無法保護你看不到的東西,將所有信息整合在一起,讓他們了解他們最迫切需要解決的問題是一個大問題。

最后,公司擁有的安全工具通常不起作用。根據(jù)ESG調(diào)查,74%的組織表示他們擁有強大的API安全計劃和多種Web應(yīng)用程序工具。59%的組織使用API安全工具,57%的組織部署了Web應(yīng)用程序防火墻,50%的組織擁有API網(wǎng)關(guān),48%的組織使用分布式拒絕服務(wù)緩解措施,42%的組織使用爬蟲程序管理工具。我們詢問他們針對API安全采取了哪些解決方案,他們正在檢查是否使用了所有這些解決方案,并表示它們是有效的。

隨著企業(yè)部署更多安全工具,違規(guī)數(shù)量是否會減少?事實上,根據(jù)調(diào)查,多種API管理工具的存在是最大的安全挑戰(zhàn),其次是API部署缺乏可視性、第三方API庫存不準(zhǔn)確、API規(guī)范使用不一致以及開發(fā)人員缺乏在部署前對其API進行安全測試的能力。

使用多種工具,您會收到多種警報,它們是用不同的語言構(gòu)建的,并且使用多種工具,因此部署、管理它們和培訓(xùn)人員需要更長的時間。

OWASP API十大API風(fēng)險

對象級授權(quán)被破壞:開發(fā)人員應(yīng)檢查用戶是否有權(quán)執(zhí)行他們想要對對象執(zhí)行的操作。當(dāng)缺少這些檢查時,該漏洞很容易被利用。它也廣泛流行且易于查找,并可能導(dǎo)致數(shù)據(jù)丟失甚至帳戶被完全接管。

身份驗證失效:身份驗證失效的示例包括應(yīng)用程序允許憑證填充或暴力攻擊、允許用戶使用弱密碼或?qū)⒚舾械纳矸蒡炞C詳細信息(例如授權(quán)令牌和密碼)嵌入到URL中。此漏洞很容易檢測和利用,而且很常見,并且可能會導(dǎo)致嚴(yán)重的業(yè)務(wù)影響。

對象屬性級別授權(quán)損壞:這是另一個易于檢測、易于利用且常見的漏洞。其中一個例子是預(yù)訂應(yīng)用程序API,它允許主人不僅同意預(yù)訂,還可以更改預(yù)訂價格,向客人收取比他們預(yù)期更高的費用。這里的問題是,即使允許用戶訪問特定對象,他們也可能不一定需要訪問這些對象的所有屬性。OWASP建議API返回的數(shù)據(jù)應(yīng)保持在每種單獨使用類型所需的絕對最小值,并且用戶修改對象的能力也應(yīng)保持在最低限度。

資源消耗不受限制:響應(yīng)API請求會使用帶寬、CPU、內(nèi)存和存儲等資源。如果沒有限制,成功的攻擊可能會導(dǎo)致系統(tǒng)不可用(DDoS攻擊)或讓公司蒙受損失。例如,密碼重置請求涉及公司發(fā)送短信。攻擊者可以通過腳本請求數(shù)千次密碼重置,而公司將收取巨額短信費用。或者,攻擊者可以利用易受攻擊的API并使用所有可用存儲空間上傳大量(例如個人資料圖像)。解決方案是對上傳、交互和支出進行限制。該漏洞易于檢測、普遍存在、利用難度中等,但對業(yè)務(wù)的影響可能會很嚴(yán)重。

函數(shù)級別授權(quán)被破壞:這是指對特定函數(shù)的API調(diào)用不檢查用戶是否擁有正確的權(quán)限。例如,低級別用戶可能能夠創(chuàng)建具有管理權(quán)限的新用戶帳戶。解決方案是為每個業(yè)務(wù)功能提供基于角色的身份驗證。OWASP表示,該漏洞很容易被攻擊者檢測、利用,而且很常見,但影響也很嚴(yán)重。

無限制地訪問敏感業(yè)務(wù)流:2023年新增的一項,此時請求完全合法,但請求過多可能會造成損害。例如,某人可能會購買所有可用的門票,然后以更高的價格轉(zhuǎn)售,用垃圾郵件淹沒評論系統(tǒng),或者使用預(yù)訂工具預(yù)訂所有可用的時段。該漏洞很容易被利用、廣泛流行,并且只需要普通的技能即可檢測到。

服務(wù)器端請求偽造:2023年新增功能,允許用戶提供URL,例如,他們可以輸入其照片在線位置的URL,而不是上傳個人資料照片。如果攻擊者提供位于公司防火墻后面的URL,并且API可以訪問這些資源,則用戶可以利用API的訪問權(quán)限來獲取他們不允許擁有的內(nèi)容。根據(jù)OWASP的說法,此漏洞易于檢測、易于利用、很常見,并且會產(chǎn)生中等影響。

基本上以授權(quán)方式命令應(yīng)用程序代表我發(fā)送請求,但需要獲得其自身的許可。它可用于代理請求,以便它們可以獲取非常敏感的數(shù)據(jù),或者訪問云提供商的元數(shù)據(jù)服務(wù)。一個眾所周知的濫用這一點的例子是2019年第一資本違規(guī)事件。它允許攻擊者獲取工作負載的會話令牌,并使用該令牌繼續(xù)從自己的外部筆記本電腦模擬工作負載。它使他們能夠找到包含信用卡信息的S3數(shù)據(jù)。

安全配置錯誤:API可能缺少安全補丁、系統(tǒng)過時或云權(quán)限配置不正確、缺少加密或包含暴露敏感信息的錯誤消息。根據(jù)OWASP的說法,這是一個廣泛存在的漏洞,很容易檢測和利用,并可能造成嚴(yán)重后果。

庫存管理不當(dāng):這一點與API可見性有關(guān)。你知道API的用途嗎?它在哪里運行?它在哪個版本上?預(yù)計什么時候退休?誰應(yīng)該有權(quán)訪問它?API還可能存在數(shù)據(jù)流盲點,例如不知道API可以訪問敏感數(shù)據(jù)并將其發(fā)送給不應(yīng)擁有該數(shù)據(jù)的第三方。根據(jù)OWASP的說法,這是一個廣泛存在的漏洞,易于利用,檢測難度中等,并且后果中等。

API的不安全使用:2023年新增的一項,指的是公司對外部API的信任程度超過應(yīng)有的程度。如果第三方受到威脅,該外部API可能會發(fā)送錯誤數(shù)據(jù),例如SQL注入攻擊或重定向到惡意位置。根據(jù)OWASP的說法,這是一個常見漏洞,很容易被利用,檢測難度中等,并且會造成嚴(yán)重后果。

API安全的未來

企業(yè)正在尋求基于平臺的API安全方法,以降低處理不同系統(tǒng)的復(fù)雜性和管理開銷。這一切都與效率、降低成本和打破孤島有關(guān)。

警報疲勞以及網(wǎng)絡(luò)安全技能差距也正在推動公司進行整合。該行業(yè)還尋求人工智能來提高API安全性,包括最新的生成式人工智能??紤]以有助于提高生產(chǎn)力并簡化手動和較低級別任務(wù)的方式應(yīng)用這項技術(shù)是件好事,但不要在該技術(shù)方面發(fā)展得太快。

例如,許多公司在啟用自動修復(fù)和讓人工智能系統(tǒng)自動修復(fù)問題方面進展緩慢,因為擔(dān)心它們會破壞應(yīng)用程序。但現(xiàn)在,對于某些事情,由于對工具的信任,他們愿意進行自動修復(fù)。安全工具的改進需要時間。在此之前,我們可以預(yù)見事情在好轉(zhuǎn)之前會變得更糟。

Akamai的數(shù)據(jù)顯示,2022年API攻擊流量創(chuàng)下歷史新高,是上一年的2.5倍,下半年日攻擊量經(jīng)常突破1億次大關(guān)。攻擊者可以使用的工具越來越多。這包括人工智能。現(xiàn)在31%的攻擊流量是通過API進行的。

此前,Akamai曾報告稱,所有網(wǎng)絡(luò)流量的83%是API。新的統(tǒng)計數(shù)據(jù)較低,因為它只關(guān)注攻擊流量,并且由于大量DDoS攻擊(通常不歸類為API)而導(dǎo)致統(tǒng)計數(shù)據(jù)偏低。

在攻擊API時,攻擊者可以使用的工具越來越多。這包括人工智能。他說,很難判斷API攻擊何時受到人工智能的幫助,當(dāng)涉及網(wǎng)絡(luò)釣魚或社會工程時,這一點更為明顯。我們今天還沒有看到它以大規(guī)模、可見的方式被使用,但作為一個安全社區(qū),我們不應(yīng)該對此感到太多安慰,因為浪潮即將到來。

與此同時,Salt Security的3月份API安全報告顯示,針對公司API的獨特攻擊者數(shù)量猛增。截至2022年初,該公司追蹤到了123名攻擊者。到6月,這一數(shù)字已增至497名。然后到了12月,就有4842名獨特的攻擊者被追蹤。

Salt Security也進行了調(diào)查,發(fā)現(xiàn)該公司90%的情況下都存在API安全漏洞,其中50%是嚴(yán)重漏洞。由于這些挑戰(zhàn),59%的公司表示,由于API安全問題,他們已經(jīng)放慢了新應(yīng)用程序的部署速度,48%的公司表示API安全性現(xiàn)在已成為C級討論主題。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論