Salt Security发布的《API安全趋势调查报告》显示:2022年,平均每个受访企业的API数量较上一年增长82%。同时,恶意API流量占比约为2.1%,比上一年激增117%;API攻击正在引发严重的安全问题,有94%的受访者表示他们在过去一年内遇到过API安全问题。
报告表明,API在企业数字化过程中的广泛应用扩展了攻击面,但很多企业还没有对API面临的安全威胁保持足够的重视。一旦被不法分子盯上,企业的相关业务可能遭遇灾难性打击。比如社交媒体Facebook因API漏洞而导致5000万用户账户信息遭泄露,虚拟主机提供商Hostinger的API数据泄露事件则暴露了1400万客户记录。
为了防范此类威胁和风险,企业需要时刻警惕潜在的API漏洞。哪些API风险最致命?企业应该采取什么样的防护措施?
API面临的主要威胁和风险
影子API、僵尸API
影子API是创建和部署在安全监控范围外的API端点,即组织或开发人员使用的未记录和未跟踪的第三方API。这类API可能存在不适当的身份验证和授权、错误地暴露敏感数据等问题,容易受到攻击。
僵尸API是企业等组织需要关注的重要API安全问题,此类API通常是陈旧、过时、很少使用或被抛弃的API。它们极少被使用或者干脆被遗忘,缺乏维护和更新,可能成为攻击者的突破口。
对于这类风险,企业应进行全面彻底的API资产管理,对API资产进行梳理,除了梳理业务系统内部API资产,还应当梳理业务调用第三方系统的API资产情况,及时发现影子API、僵尸API,并对这些API进行诊断和风险排查。
未经身份验证的API
在一些企业中,存在着使用API而不进行身份验证的现象。这些未经身份验证的API一旦公开暴露,可能会对企业的应用系统安全构成威胁。面对这类API风险,需要强制进行API身份验证,以防止未经请求的API访问敏感数据资源,一旦出现事故,因为控制了API的访问范围,能够减少损失。
未经授权的API
考虑到攻击者会通过其他途径获得身份验证,如枚举用户标识符,从而获得系统的的访问权限。因此,仅仅进行身份验证还不足以保证API安全。企业还需要实现对API的授权访问管理,如创建访问控制列表,以限制通过身份验证的用户访问不属于他们的API数据,降低安全风险。
API监控不足
在一些安全事件中,当企业觉察到被攻击后,攻击行为往往发生在数月前,数据已在不知不觉中被窃取,影响也越来越大。当API缺乏实时监控时,有可能导致此类事件的发生。监控的缺失,相当于为攻击者提供了足够的时间保持对API的访问,这种隐形攻击可能为企业带来更大的损失。
在实践中,企业应定期开展API安全应用审计,以确保足够的API日志记录和安全的日志存储。根据OWASP的报告,组织检测修复漏洞的平均时间约为200多天,因此需要加强监控,及时发现API的异常情况。
不安全的数据传输协议
不安全或配置错误的API应用将为潜在攻击者敞开大门,如Web应用程序仍然采用HTTP通信,极有可能暴露API密钥等敏感数据。
企业应采取SSL来加密数据和阻止不安全的HTTP请求,此外还可以通过采用反向代理等技术来降低风险。
石犀平台轻松应对API安全威胁
API作为重要的数字资产,其安全防护越来越受到重视。针对API安全威胁,石犀数据流动治理平台(石犀平台)可提供从API资产梳理、风险甄别到安全防护的全栈式解决方案。
首先是对API资产的梳理盘点。通过掌握用户的API情况,如API资产、API关系等,为后续的防护提供基础和依据。其次是自动进行场景标签分类,对API进行可视化和风险分析。随后通过特定的插件对API安全漏洞进行检测,对非法访问行为、恶意流量以及恶意用户进行逐一甄别。最后,针对发现的API安全漏洞,石犀平台可通过插件,如ACL访问控制插件、WAF插件、脱敏插件等,做到全方位的防护,提高API安全性。
除此之外,石犀平台还可作为性能突出的负载均衡、反向代理解决方案,为企业的数字资产保驾护航。