2023年4月15日是我国第八个全民国家安全教育日。网络安全作为保障国家安全重要的一环持续受到社会高度关注。与此同时,API作为企业数字化转型的基础要素,在转型过程中的信息流通、各种程序、应用和系统之间的连接方面提供了重要支持,也越来越普及于应用架构中。

API(应用程序编程接口)是一种用于不同软件应用程序之间共享信息的技术。这种技术使得不同的应用程序可以相互协作,以更高效地交换信息。然而,由于API接口在不同的应用程序之间传输信息,因此API的安全问题变得尤为重要。如果API接口不安全,黑客可以通过攻击API接口来获取敏感信息或破坏企业的数据。然而,API安全的发展速度却不及API的使用速度。这种增长引起了攻击者的更多关注,API 已成为许多系统的主要攻击面。

Gartner很早就关注API安全问题,其曾在《如何建立有效的API安全策略》报告中预测:“API 滥用将从原本频率较低的攻击类型变为导致企业 Web 应用程序数据泄露的最常见攻击媒介。” 而后又更新了这一预测,称“到2024年,API滥用和相关数据泄露将几乎翻倍。”在《Hype Cycle for Application Security, 2022》(2022年应用安全技术成熟度曲线)报告中,Gartner再次阐明:API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。

全民国家安全教育日:出海企业应关注API安全风险-RadeBit瑞安全

对此,Akamai大中华区企业事业部高级售前技术经理马俊表示:“从互联网的流量上看,Akamai观察到API流量占到互联网主要流量形式,超过八成的流量是以API的流量形式承载的。过去一年,API攻击增长超过287%,这意味着互联网的安全形势越来越严峻。”

全民国家安全教育日:出海企业应关注API安全风险-RadeBit瑞安全

Akamai大中华区企业事业部高级售前技术经理 马俊

“这部分主要会影响到数据安全、数据的保密性。我们常见的是敏感数据未经授权被黑客窃取、数据被恶意擦除或者锁死造成信息不可用……这些都是比较耳熟能详的API攻击的业务影响。针对这个问题,Akamai从2008年开始就不断打磨API和Web防护解决方案,致力于通过云安全保护客户。”马俊补充道。

API成为攻击者入侵企业的潜在途径

API 可能会成为黑客的目标,他们会试图窃取敏感数据,获取对 IT 网络的未经授权访问,或者扰乱或破坏企业。API 攻击通常从利用安全漏洞或安全错误配置开始,攻击通常涉及 SQL 注入、权限控制失效、分布式拒绝服务 (DDoS) 和中间人 (MITM) 攻击技术,这些都罗列在 OWASP 十大安全漏洞中。

2022年上半年Akamai Web应用程序和API威胁报告指出,2022年上半年全球Web应用程序和API攻击数量显著增加,攻击尝试次数超过90亿次,,比 2021 年上半年增加了 3 倍。绝大部分的攻击方式由本地文件包含 (LFI)、结构化查询语言注入 (SQLi) 和跨站点脚本 (XSS) 攻击构成,而大多数攻击尝试所针对的目标都是美国境内企业。勒索软件操纵者 Conti 的内部资料在近期泄露,揭示出该犯罪团伙如何自动对存在漏洞的应用程序和系统发起自动攻击尝试,从而获得目标网络的初始访问权限,因此针对 Web 应用程序和 API 的攻击尤其值得关注。

API 意味着日益增加的安全风险也并不奇怪,因为几乎任何可用的 Web 应用程序或 Web 服务多少都会受到 API 的支持。从移动应用程序和物联网 (IoT) 设备,到内部应用程序和基于云的客户服务,再到微服务架构,API 使业务通信和交易成为可能。Akamai表示,在您的IT团队中,Web API 安全和 API 管理必定是整个 API 生命周期中的关键优先事项。

出海企业如何实现API安全?

出海企业作为数字化转型的推动者之一,对API安全的重视程度直接影响到企业信息安全和业务稳定性。企业可以尝试加强API访问权限控制,限制对API的访问,只授权给经过身份验证和授权的用户。企业可以使用API网关或API管理平台来管理API,并实施安全控制以确保只有经过授权的用户可以访问API;此外,企业可以实施API防火墙以及API加密和签名方式来保护API安全,API防火墙可以检测和防止恶意请求,并防止API被攻击者利用进行攻击。企业可以使用专业的API防火墙产品或服务,也可以自行开发基于规则的API防火墙。同时,API加密和签名可以确保API请求和响应的机密性、完整性和可验证性。

同时也可以参考Akamai提出的API安全最佳实践

  • 发现和跟踪所有 API。 企业经常遇到他们甚至不知道的 API 安全事件,这可能与 API 提供商有关。了解 API(包括您企业使用的外部 API)的位置和用途对保护它们至关重要。通过关注 API 开发,您可以从一开始就跟踪 API。
  • 识别漏洞。 使用安全测试工具识别每个 API 中存在的漏洞。首先搜索逻辑调用、硬编码密钥和 API 流量可能被模拟攻击入侵的可能性。扫描存储和存储库中可能用于破坏 API 的密钥,一旦识别出漏洞,必须根据风险承受能力对其进行优先修复和正确配置。
  • 利用现有的安全解决方案。 从现有的解决方案开始,例如 WAF 基础架构、身份管理、数据保护和专门的 API 安全技术,确保拥有可持续 API 安全计划。
  • 设置一揽子 API 安全策略。 与其为每个 API 使用唯一的策略,不如实施一组可重复使用的策略。避免将策略直接编码到 API 中,这将增加不必要的复杂性并缺乏可视性。将任何 API 资源的默认访问级别设为 null,进而需要持续的身份验证。

至2022年,Akamai已连续六年荣膺 Gartner“云端Web应用程序和API保护魔力象限领导者”嘉誉(Gartner Magic Quadrant for Cloud WAAP)。一份名为“Gartner云端Web应用程序和API保护关键能力”(Gartner Critical Capabilities for Cloud Web Application and API Protection)的伴读报告指出,在 4 个基于云的 WAAP 用例中,Akamai 有 3 个用例斩获最高分:API 安全性和 DevOps、高安全性以及 Web 级业务应用程序。(Akamai 荣膺 2022 Gartner“云端Web应用程序和API保护魔力象限™领导者”嘉誉-DOIT

Akamai 产品管理副总裁 Eric Graham 表示:“为了规避防御措施,攻击者不断重组现有攻击并探索可利用的新漏洞,从而演进其攻击手法。Akamai 连续六年荣膺“云端Web应用程序和API保护魔力象限领导者” 嘉誉,这是我们致力于持续创新、从容应对不断演变的威胁的有力印证。我公司致力为全球最有价值、广受追捧的品牌保驾护航,因此非常感谢 Gartner 对于我们 WAAP 解决方案的认可,以及客户就这些解决方案给出的反馈意见。”

数字支付企业如何保障API安全?

Akamai对此提出了如下相关的建议:

第一、识别企业的API并追踪它们。许多组织机构都经历过API方面的事件,他们甚至不知道自己有这样的API。因此,知道API的位置以及它们的用途至关重要。与此相关的还有组织机构使用的外部API。这些API也需要被识别和保护,或者至少被登记为可能的风险项目并进行评估。

第二、在知道所有API的位置后,对它们进行测试并了解其中存在哪些漏洞。这项工作需要有测试工具和扎实的开发人员培训并与当前安全团队配合。你需要讨论风险容忍度并制定计划来尽早修复漏洞,避免拖延。首先要寻找硬编码的密钥、逻辑调用,确认API流量是否会被伪装攻击所入侵。也可以扫描存储和储存库,寻找可被用于破坏API或相关程序的密钥。这一点尤为重要,目前很多攻击都与API密钥泄漏有关,因此需要不断强化与提高研发人员的安全意识,定期对密钥进行审核。

第三、在开发和上线期间充分利用现有的WAF基础设施与任何身份管理和数据保护解决方案以及任何专门的API安全工具。此外,必须将API安全作为一项长期的流程,而不是开发过程中的一次性流程。新的漏洞和攻击层出不穷,单一实例检查将会让你暴露在攻击之中。

第四、在API策略方面,尽量避免对每个API采取独特的策略,应该尽可能使用一套可以重复使用的“一揽子”策略。此外,不要将策略直接写入需要保护的API中,这会违反职责分离机制、增加不必要的复杂性、让维护代码的人员承受更多的开销负担并阻止安全团队看到。根据我们的经验,你可以将任何资源的默认访问级别设置为空或拒绝,这样可以强制执行最小权限并始终要求身份认证。