如何避免API威胁的攻击模式

API是公司内部许多技术创新的基础。这些创新改善了员工和客户体验。不幸的是，数字创新和API经济的快速扩张为网络犯罪分子提供了新的利用机会。可视性成为关乎API安全的关键方面。一旦影子API或流氓API等盲点被发现，安全团队将会惊觉其系统中存在诸多以前从未意识到的漏洞。

主要发现

• 2022年Gartner预计，到2024年，API滥用和数据泄露将几乎翻一番。2023年，29%的网络攻击针对API，这表明API是网络犯罪分子锁定的重点领域。

• 针对API的攻击包括OWASP TOP 10 API安全性和OWASP TOP 10 Web应用程序安全性中强调的风险，攻击者使用结构化查询语言注入（SQLi）和跨站脚本（XSS）等经过验证的方法渗透目标。

• 业务逻辑滥用是一个关键问题，因为在没有为API行为建立基线的情况下，检测异常API活动是极具挑战性的。没有解决方案来监控其API活动中的异常情况的组织将面临运行时攻击的风险，例如数据抓取——一种新的数据泄露矢量，使用经过身份验证的API从内部缓慢抓取数据。

• API是当今大多数数字化转型的核心，因此了解行业趋势和相关用例（如会员欺诈、滥用、授权和刷卡攻击）至关重要。

API：最大的攻击向量

按照设计，API是数据的管道。一旦攻击者通过漏洞利用或针对业务逻辑的攻击获得对API的未经授权访问，就无异于获得了数据的访问权。2022年到2024年，API滥用和数据泄露将几乎翻一番。快进到现在，高调的API事件比以往任何时候都更常见。事实上，去年，OWASP发布一个单独的API特定风险列表——OWASP TOP 10 API安全性——其中识别了API构成的独特威胁。

研究发现，API正成为传统攻击和API特定技术的目标。从2023年1月到12月，近30%的web攻击都是针对API的。随着对API使用需求的增加，这些攻击可能还会继续增长，除非组织适当地保护其API或考虑其环境中的所有API。要全面了解攻击面，首先要了解全面而准确的API清单。

研究人员在全球范围内观察到一些有趣的趋势，其中欧洲、中东和非洲（EMEA）地区遭遇的针对API的网络攻击比例最高（47.5%），其次是北美（27.1%）和亚太和日本（APJ）地区（15%）。造成区域攻击差异的原因有很多，比如监管环境、地缘政治冲突、基础设施类型、访问和教育差异、商业模式和社会因素等。

API攻击策略

分析攻击者瞄准企业API的方式及其经常使用的攻击策略，可以揭示组织应该重点关注的防御领域。调查结果显示，在过去的12个月里，HTTP协议（HTTP）、结构化查询语言注入（SQLi）和数据收集攻击是攻击者最为青睐的一些技术。在HTTP攻击场景中，攻击者会利用各种协议中的漏洞进行恶意攻击，例如读取敏感数据和欺骗客户端或服务器等。另一种流行的技术是活跃会话（Active Session），它适用于在该会话期间标记并阻止可疑攻击流量的任何实例。至于数据收集（Data harvest），顾名思义，指的就是集成或收集信息的攻击，攻击者可以利用这些信息进行其他后续攻击。

值得一提的是，虽然本地文件包含（Local File Inclusion，LFI）并非API的首要载体，但它仍然是一个值得关注的领域，因为它可以用来渗透预定目标；然而，仔细观察一下针对web应用程序和API的攻击分布，就会发现LFI仍然是最主要的攻击媒介之一。

研究结果还显示，机器人请求也是一个令人担忧的领域。根据Akamai的数据，到2023年，全球近三分之一的可疑机器人请求都是针对API的。虽然不一定都是恶意的，但这些机器人请求可以用于进行凭据填充攻击和数据抓取，进而可能导致信息盗窃。

困扰API安全的现实问题

通过分析API活动，研究人员发现了两种截然不同的问题：态势问题和运行时问题。

• 态势问题（Posture problem）与企业API实现中的缺陷有关。指示态势问题的警报可以帮助安全团队在攻击者利用高优先级漏洞之前识别和修复它们。

以下是观察到的最常见的态势问题。如果不解决，将对企业造成各种潜在影响。

1、影子端点：影子端点是过时的或未记录的API先前版本。它们有时也被称为僵尸API、流氓API或遗留API，由于它们不受组织的标准安全控制和措施的约束，因此它们具有更高的被利用风险。

2、未经身份验证的资源访问：未经身份验证的资源访问是指用户或系统能够在不提供任何形式的身份验证的情况下访问API资源的情况，这通常是由于API实现或配置中的缺陷造成的。尽管许多未经授权的资源是通过模糊手段处理隐藏的，但是发现它们的攻击者可能会利用它们来访问敏感数据或应用程序功能。

3、URL中的敏感数据：在某些情况下，可以在API请求的URL中观察到敏感数据，如密码、身份验证令牌、信用卡详细信息和个人身份信息（PII）。URL中的数据通常存储在可能被攻击者访问的地方（如日志和缓存），这会造成敏感数据泄露和遵从性问题等重大风险。

• 运行时问题（Runtime problem）是需要紧急响应的活跃威胁或行为。虽然本质上通常是关键的，但这些警报比其他类型的安全警报更微妙，因为它们多以API滥用的形式呈现，而非更明确的基础设施破坏尝试。

以下是研究人员观察到的最常见的运行时问题及其潜在风险概况：

1、未经身份验证的资源访问尝试：这是上一节中描述的“未经身份验证的资源访问”态势警报的衍生物，它允许攻击者在没有适当身份验证的情况下访问敏感API资源。

2、路径参数模糊化尝试：路径参数模糊是指故意发送意外或格式错误的数据作为API请求的一部分，其重点是RESTful API用来指定某些资源或操作的URL部分。这是攻击者用来执行侦察的另一种技术，目的是发现潜在的易受攻击的API以执行数据泄露或服务中断等尝试。

3、数据抓取：数据抓取是指以与API的预期用途和服务条款不一致的方式和数量从API中自动提取数据。攻击者通常缓慢地收集这些数据，以逃避检测并窃取知识产权，收集敏感客户数据，或获得某种利润。当它在API中未被发现时，这种低调且缓慢的数据抓取往往意味着潜在的大规模数据泄露攻击。

除了这些态势和运行时问题外，API还面临三个更普遍的挑战：

• 可见性——是否有流程和技术控制来确保所有API都受到合理保护？这是一个关键问题，因为API通常是转型的一部分或嵌入到新产品中，因此许多API没有与传统web存在相同级别的指导、保护和验证。

• 漏洞——API是否遵循了开发的最佳实践？是否在避免OWASP提及的最常见的编码问题？此外，是否跟踪并检查了漏洞？

• 业务逻辑滥用——有设定预期流量的基线吗？确定什么是可疑活动了吗？

总而言之，无论是对于面向客户的API还是内部API，拥有对API的可视性和调查能力并建立流程以快速缓解威胁都是至关重要的。

行业趋势凸显供应链攻击危险

API是组织数字化转型的核心。然而，API的存在也增加了企业的风险暴露面，并带来了重大的安全挑战。报告显示，44.2%影响商务机构的网络攻击以API为目标，其次是企业服务机构，占比31.8%。这种对商务的严重倾斜是由多种因素造成的，包括其生态系统的复杂性、对API的高度依赖以及存在大量机密客户信息。

值得关注的是，企业服务排名第二的一个关键因素是考虑到供应链攻击的潜在威胁。提供企业服务的第三方公司可能拥有有关其附属组织的机密信息，甚至可以访问其环境，攻击者可能将其用作通往高价值目标的途径。

仔细观察上述数据不难发现，没有哪个垂直行业能够免受API攻击。例如，医疗物联网（IoMT）的爆炸式增长和数据互操作性的努力推动了医疗保健行业的API采用率，同时也为医疗保健行业带来了重大风险。

API成为新的数据泄露载体

在大多数API环境中，存在的一个常见业务问题是在API安全程序的发现阶段检测到编程错误或配置错误。这些错误中的大多数从未被利用，但一旦安全团队获得了对API资产和每个API上运行的流量的可见性，潜在的损害将会很明显。

通常，涉及API的应用和业务流程的启动和部署速度，比安全团队评估其状态的速度要快。这似乎使错误配置和漏洞不可避免。再加上大多数组织内部缺乏API安全专业知识，这就导致下述这个令人不快的安全等式。

如何有效进行防护

由于API的快速部署，它们中的许多都不具备该有的网络安全成熟度。问题是许多API都有可被利用的敏感数据。为了提高可见性并改善API安全成熟度，可以采纳以下方案：

1. 照亮阴影

“你不能保护自己看不到的东西”这句古老的格言同样适用于今天的API。对于许多增加API活动可见性的企业来说，最大的惊喜之一是在其环境中悄悄运行的影子端点数量锐减了。发现流氓或僵尸API令安全团队倍感欣喜，因为这让之前的阴暗之处照进来光亮。通常，实现API安全成熟度的第一步是系统地发现这些影子API，并确保每个影子API要么退役，要么正式记录，并纳入组织的API安全控制。这对降低意外API滥用和其他风险具有直接影响。

2. 实现文档化

影子API得到了解决，但在合理化和组织已批准的API清单方面仍有工作要做。这包括根据广泛的类别（例如开发、测试和生产）进行分段并建立层次结构，以确保安全警报和分析具有适当的上下文，从而允许团队了解与API相关的风险。为每个API编写文档是改进可见性的下一步。文档使安全团队能够更有效地对态势警报做出反应，因为它将警报带入上下文中，并使其与他们对应用程序、API和业务流程的思考方式保持一致。

3. WAAP全站防护

WAAP全站防护是基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。

主要的特性在于：

1.全周期风险管理

基于事前-事中-事后全流程，通过资产发现→策略布防→体系化运营，实现风险管理闭环

2.全方位防护

聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块，实现覆盖L3-L7层的全站防护

3.简化安全运营

统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛，大幅降低安全运营复杂度和人力成本

4.防护效果卓越

多模块数据联动，秒级识别低频DDoS、业务欺诈等隐藏恶意行为；主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁

产品功能包括但不限于：

一、云端部署

一键接入，无需改造现有架构，专家7*24小时在线支撑，实时解决问题

二、风险管理

在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

1.漏洞扫描：通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

2.渗透测试：派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

3.智能化防护策略：平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

4.API资产盘点：基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

5.互联网暴露面资产发现：通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识 别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

三、全站防护

在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

1.DDoS防护：秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

2.CC防护：基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

3.业务安全：针对业务层面，提供轻量化的信息防爬和场景化风控能力；

4.API安全：针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

5.Web攻击防护：覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

6.全站隔离：基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

7.协同防护：通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

四、安全运营

在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

1.全面的安全态势：聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

2.持续优化的托管策略：结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

3.安全专家运营：资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。

总之，保障API安全需要综合运用多种高技术策略，需要从多个方面入手，构建全方位的防护体系。只有这样，企业才能在数字化转型的道路上稳健前行，确保业务的安全和稳定。