美橙互联-瑞数信息《2023 API安全趋势报告》重磅发布:API攻击持续走高,Bots武器更
如今API作为连接服务和传输数据的重要通道,已成为数字年代的新式根底设施,但随之而来的安全问题也日益凸显。为了让各个职业更好地应对API安全要挟应战,瑞数信息作为国内首批具有“云原生API安全才能”认证的专业厂商,近年来继续输出API安全相关观点,为政企用户做好API安全防护供给参考攻略。
今天,瑞数信息正式发布《2023 API安全趋势陈述》 (以下简称“陈述”),从API要挟态势、进犯手法、API安全开展趋势等多个方面进行深度剖析,剖析典型的API进犯案例,并结合API趋势供给了防护主张。
陈述指出,跟着API调用数量的增多和自动化工具的鼓起,API进犯继续走高,API财物办理不妥、自动化进犯、事务欺诈以及数据走漏等危险正在对企业的事务安全构成新的应战。一起,在远程作业和企业使用向云端搬迁的趋势下,API要挟越来复杂化。跟着人工智能、机器学习等技能的开展,Bots自动化进犯手法越来越聪明,能够快速、精确地扫描API缝隙或对API主张进犯,对体系形成严峻要挟。
一、API要挟态势剖析
跟着数字化技能的开展和Web API数量的爆发性增加,API面对的安全进犯比例现已超越传统的Web缝隙进犯。API和小程序逐步成为了许多企业和安排的流量进口,引发的进犯越来越多,并且通过API接口进犯打破Web使用,作为跳板进入方针网络。
陈述指出,越来越多的进犯者正使用API来施行自动化的“高效进犯”,由API缝隙使用的进犯或安全办理缝隙所引发的数据安全事件,严峻损害了相关企业和用户权益,逐步遭到各方的重视。2022年检测到Web进犯中,针对API的进犯占比现已超越70%。
根据相关数据计算发现,2022年比2021年API进犯增加约60%。尽管2022年受疫情影响,多数单位居家作业,可是黑灰产的进犯行为并没有因而而停止,反而增多。
二、API安全防护难与传统的Web防护不同,API的安全防护要求更为全面,包括财物办理、缺点辨认、进犯检测、Bots检测、参数检测、行为辨认、拜访操控等多个环节,(高防服务器租用qy)任何环节的缺失或不足都会影响到整体的防护作用:
01 多途径多鸿沟难以全面防护
拜访进口的多样化,带来了事务使用布置鸿沟的多样化,如:Web、APP、小程序、第三方途径等事务接入途径,导致了脆缺点的露出面扩展,增加了危险管控复杂性。因而,在同一防护体系内融合多事务接入途径的防护是API防护的难点之一。
02 接口涣散和传输格局多样性导致接口难以发现
全面精确的API接口发现是API防护作业的根底,对API接口进行自动辨认、分类尤为重要。与传统Web使用能够依靠本身结构上的统一进口不同,API本身多以独立个体的方法涣散存在,采用点对点的拜访形式,难以通过接口之间的联络进行API发现。一起,传输数据格局的多样性(JSON、XML、GraphQL 等)也增加了API的辨认难度。
03 事务紧耦合防护战略难以通用
API和事务是紧耦合的,针对API的防护战略往往也和事务相关,这就形成API防护战略在跨事务的情况下难以通用,而微服务架构和DevOps形式下使用快速迭代改变的特性也扩大了这一难点,处理这一问题是API防护产品快速布置推广的一个难点。
04 合法授权下的乱用危险难以辨认
现在API在授权之后的拜访操控相对单薄,海外安全组织Salt Security发布《State of API Security》中显现,95%的API进犯发生在身份验证之后。API防护需求要点重视这些合法授权下的进犯、乱用及数据过度露出等危险。如安在现已取得合法授权的请求中辨认出异常拜访,是API防护需求处理的一个难题。
三、API进犯特点剖析
在攻防对抗中,进犯方通常把握着主动性,因而把握进犯者的入侵方法和手法,发现信息体系的潜在脆弱性,以此作为防备根据会大大提高防备作用。面对越来越严峻的API安全要挟,陈述从职业散布、缺点剖析、类型剖析、API进犯手法等多个方面剖析了API进犯特点。
1 职业散布
不同职业使用、事务形状的差异导致了API使用情况各不相同,API请求拜访流量占比最高的为互联网,其次为金融和运营商。
2 缺点剖析
在OWASP的参考中现已定义了多种API缺点,但在用户生产环境中往往难以一一对应,为了愈加直观的展现这些缺点问题,瑞数信息对其进行了重新组合。最为广泛出现的 API 缺点为过度数据露出,其次是参数可遍历、 越权拜访、参数可篡改、明文暗码传输、接口误露出等。
3 类型剖析
不同的API功用类型,面对的进犯程度也不一样,尤其是合适Bots进行自动化进犯的接口,例如:公开数据查询、登录、下单等类型的接口最容易遭受进犯。
4 进犯手法
API作为使用与事务的结合体,面对着两层的进犯要挟,除了遭受着传统SQL注入、SSRF、恶意文件上传等进犯外,还面对着各种事务层面的进犯,例如:越权拜访、信息遍历等。
四、API安全开展趋势及防护主张
跟着API数量井喷式增加,API安全危险页进一步加重。结合对API要挟态势和进犯特点等剖析,陈述猜测了API安全开展四大趋势:Bots自动化进犯加重API安全危险;API安全办理愈加智能化;API安全成为云使用安全的重要组成;合规要求成为API安全的要素。
基于此,陈述指出,在应对新式的API危险时,主要防护建造思路能够归结为“一个根底,四个感知” 。
一个根底,即API财物办理是一切安全防护的根底,保证已上线的API悉数都在管控规模之内,防止有漏网之鱼导致安全防线失效。
四个感知,包括:环境感知,加强对API的调用环境进行环境感知,提高API调用者的环境安全检测才能。危险感知,对API本身缺点和外部进犯危险进行感知发现。数据感知,对灵敏数据进行辨认,一起结合职业的分类分级规范,进行相应的安全战略管控,全面提高灵敏信息监测才能。事务感知,制定合适的API安全战略,提高事务感知才能。
五、结语
数字年代,API在为开发者带来诸多好处的一起,也极大的增加了使用体系新的危险。据Gartner猜测,“到2022年,API乱用将成为导致企业Web使用程序数据走漏的最常见进犯媒介。到2024年,API乱用和相关数据走漏将简直翻倍”。如何正确看待API安全危险并有效防护API安全,将成为一切企业的必修课。
