域名預(yù)訂/競價，好“米”不錯過

API是連接現(xiàn)代應(yīng)用程序的基石，越來越多的企業(yè)意識到API的重要性，其數(shù)量迎來爆發(fā)式增長，但API面臨的安全威脅卻比API調(diào)用增長更加迅猛。Salt Security于今年2月發(fā)布的報告顯示，2022年有91%的公司存在與API相關(guān)的安全問題，80%的組織認為他們的安全工具不能有效地防止API攻擊。

為了強調(diào)API安全的重要性，OWASP在2019年首次提出了API Security Top 10，并于2023年發(fā)布了API Security Top 10的內(nèi)容更新。此次更新內(nèi)容專門增加了“API缺少對自動化威脅的防護”內(nèi)容，這說明在實際應(yīng)用中，很多企業(yè)API缺乏對自動化攻擊的防護措施。

Cequence Security在最新發(fā)布的2022年度API安全報告中也指出，API已成為主要攻擊媒介，而自動化攻擊則是API安全的主要威脅。

事實上，隨著人工智能、機器學(xué)習(xí)等技術(shù)的發(fā)展，Bot自動化攻擊手段變得越來越普遍和復(fù)雜。Bot自動化攻擊可以快速、準(zhǔn)確地掃描API漏洞或?qū)PI發(fā)起攻擊，對系統(tǒng)造成嚴(yán)重威脅。

那么，究竟什么是針對API的Bot自動化攻擊?這種攻擊是如何發(fā)生的，以及為什么會變得越來越普遍?

什么是針對API的Bot自動化攻擊?

所謂Bot，是Robot(機器人)的簡稱，一般指無形的虛擬機器人，也可以看作是自動完成某項任務(wù)的智能軟件。它可以通過工具腳本、爬蟲程序或模擬器等非人工手動操作，在互聯(lián)網(wǎng)上對 Web網(wǎng)站、APP應(yīng)用、API接口進行自動化程序的訪問。

Bot自動化攻擊 (Bot Attack)，是指通過工具或者腳本等程序，對應(yīng)用系統(tǒng)進行的攻擊或探測，它不僅僅是一種自動化的應(yīng)用漏洞利用的攻擊行為，更多是利用業(yè)務(wù)邏輯漏洞的威脅行為，甚至是模擬合法業(yè)務(wù)操作，躲避現(xiàn)有安全防護手段的自動化威脅行為。

因此，攻擊者可以通過完全合法有效的API調(diào)用實現(xiàn)Bot自動化攻擊，操縱、欺詐或破壞API，以達到獲取核心系統(tǒng)權(quán)限、竊取敏感信息、植入惡意軟件、發(fā)起DoS攻擊等目的。

當(dāng)利用這些Bot自動化程序?qū)ｉT攻擊API時，或者當(dāng)攻擊者利用Bot來增加API攻擊的規(guī)模、影響和復(fù)雜性時，這就是針對API的Bot自動化攻擊。

為什么這類攻擊越來越多?

多年來Bot自動化程序一直被用于網(wǎng)絡(luò)攻擊，但是為什么當(dāng)它被用于API攻擊時會引起如此高的關(guān)注呢?這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面，一旦成功攻擊API，就能獲取大量企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)。

API更容易被攻擊

與針對Web應(yīng)用程序的Bot自動化攻擊相比，針對API的Bot自動化攻擊更容易且更具成本效益。

API的保護程度通常不及網(wǎng)站和移動應(yīng)用程序。有業(yè)內(nèi)人士認為，如今的API安全性就如同應(yīng)用程序安全性在2009年的發(fā)展水平。一旦攻擊者分解了一個Web應(yīng)用程序并弄清楚了它的通信方式，他們就可以可以使用和Web API相同基礎(chǔ)結(jié)構(gòu)的攻擊機制。

同時，攻擊者可以隨時租用價格低廉的Bot、僵尸網(wǎng)絡(luò)等攻擊工具，不需要太多資源或深厚的技術(shù)知識就可以發(fā)起針對API的Bot自動化攻擊。

而API更加匿名，API請求不經(jīng)過瀏覽器或原生應(yīng)用程序代理的傳統(tǒng)路徑，它們充當(dāng)可以訪問資源和功能的直接管道，這使得API成為攻擊者有利可圖的目標(biāo)。

影子API、僵尸API

影子API是目前API安全中最為突出的問題，由于API的使用率激增，企業(yè)往往無法全部跟蹤管理，因此一些API無法及時進行維護更新，就會成為被攻擊者公開利用的漏洞。

與影子API類似，僵尸API對組織來說也是一個巨大的安全風(fēng)險，通常指的是舊的、很少使用的API版本。由于僵尸API很少得到安全團隊的注意，所以也給了犯罪分子惡意利用的可乘之機。

根據(jù)Cequence Security最新發(fā)布的2022年度API安全報告顯示，2022年影子API激增900%，近七成(68%)的受訪企業(yè)暴露了影子API，凸顯了API可見性的缺乏。僅在2022年下半年，就有約450億次搜索影子API的嘗試，比2022年上半年的50億次嘗試增加了900%。

當(dāng)攻擊者利用Bot自動化工具來映射企業(yè)的IT架構(gòu)，并窺探影子API、僵尸API時，整個攻擊過程會變得更加快速、簡單和敏捷。

API業(yè)務(wù)邏輯缺陷

開發(fā)人員傾向于使用通用規(guī)則集，并將API保留為默認配置，而不考慮業(yè)務(wù)邏輯，這會產(chǎn)生業(yè)務(wù)邏輯缺陷。

即便提前通過安全設(shè)計審查預(yù)防API業(yè)務(wù)邏輯缺陷，隨著API承載的邏輯越來越復(fù)雜，API不可避免的存在著可以被利用的Bug或邏輯缺陷，而且每一個 API 都不同，產(chǎn)生的漏洞邏輯也是獨一無二。

許多掃描工具都依賴于已知規(guī)則和行為識別風(fēng)險，這種方法很難檢測或阻止攻擊者利用每個API中獨特的業(yè)務(wù)邏輯缺陷來進行的攻擊。利用Bot自動化工具，攻擊者可以基于這些漏洞造成嚴(yán)重破壞，同時通過看似合法的API請求逃避檢測。

Bot自動化程序大幅提升攻擊效率

相比人工，Bot自動化程序有著難以匹敵的速度。攻擊者可以利用Bot自動化程序，在未經(jīng)身份驗證的情況下向端點發(fā)送大量API請求，暴力破解并快速填充憑證，在短時間內(nèi)收集大量數(shù)據(jù)。

Bot自動化攻擊還可以被攻擊者用來分散安全團隊的注意力。例如，攻擊者可能會利用僵尸網(wǎng)絡(luò)觸發(fā)數(shù)千個安全警報，以誤導(dǎo)安全團隊跟進。

Bot自動化攻擊更加隱蔽

API具備開放性的特點，攻擊者可以和正常用戶一樣來調(diào)用API，導(dǎo)致攻擊者的流量隱藏在正常用戶的流量里面，其攻擊行為會更加隱蔽、更難發(fā)現(xiàn)。

事實上，Bot自動化工具被用于API攻擊，也是因為它非常隱蔽且能避免被高級的安全工具檢測到。攻擊者往往會利用大量的、低成本的Bot自動化工具，偽裝成正常的請求流量，繞過傳統(tǒng)安全策略對敏感數(shù)據(jù)進行低頻慢速的爬取。這些Bot自動化程序能夠在沒有人干預(yù)的情況下，根據(jù)編程規(guī)則和時間推移學(xué)習(xí)，隨時隨地做出決策。

傳統(tǒng)安全方案失效

當(dāng)利用Bot通過合法帳戶進行API攻擊時，傳統(tǒng)WAF和API網(wǎng)關(guān)安全方案卻日益疲軟。

此類攻擊多以合法身份登錄、模擬正常操作、以多源低頻請求為主，而傳統(tǒng)WAF安全主要基于攻擊特征與行為規(guī)則實行被動式防御,在和真人操作幾乎無異的Bot攻擊行為面前已逐漸失效;同樣，提供身份認證、權(quán)限管控、速率限制、請求內(nèi)容校驗等安全機制的傳統(tǒng)API網(wǎng)關(guān)，在遇到此類情況時幾乎無用武之地。

同時，傳統(tǒng)WAF和API網(wǎng)關(guān)安全方案的部署與維護成本過高，這些方案并不是專門為保護API設(shè)計的，在阻止API的Bot自動化攻擊方面效果更差。

如何保護API免受Bot自動化攻擊?

毫無疑問，2023年惡意Bot、高級Bot自動化威脅工具將立足效率高、影響力大，防護薄弱API的發(fā)展趨勢將愈加明顯。

瑞數(shù)信息認為，以下4種方式可以有效保護API免受Bot自動化攻擊：

API資產(chǎn)管理

引入API資產(chǎn)管理，借用API安全工具通過對訪問流量進行分析，自動發(fā)現(xiàn)流量中的API接口，對API接口進行自動識別、梳理和分組。同時，從API網(wǎng)關(guān)上獲取API注冊數(shù)據(jù)，與API資產(chǎn)進行對比，從而發(fā)現(xiàn)未知API接口。

API攻擊防護

綜合利用AI、大數(shù)據(jù)、威脅情報等技術(shù)，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻擊，對API安全攻擊進行實時防護。同時，對API請求參數(shù)進行合規(guī)管控，對不符合規(guī)范的請求參數(shù)實時管控。

敏感數(shù)據(jù)管控

對API傳輸中的敏感數(shù)據(jù)進行識別和過濾，并對敏感數(shù)據(jù)進行脫敏或者實時攔截，規(guī)避數(shù)據(jù)安全風(fēng)險。

訪問行為管控

建立多維度訪問基線和API威脅建模，對API接口的訪問行為進行監(jiān)控和分析。一方面，監(jiān)控基線偏離狀況，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸;另一方面，高效識別異常訪問行為，避免惡意訪問造成的業(yè)務(wù)損失。同時，從API網(wǎng)關(guān)上獲取API認證和鑒權(quán)數(shù)據(jù)，防止未授權(quán)的API調(diào)用，保障API接口只能被合法用戶訪問。

目前，國內(nèi)針對API防護已經(jīng)有了完善的創(chuàng)新安全方案。瑞數(shù)信息作為中國動態(tài)安全技術(shù)的創(chuàng)新者和Bots自動化攻擊防御領(lǐng)域的專業(yè)廠商，推出的“瑞數(shù)API安全管控平臺”覆蓋了API安全防護管理全生命周期，可以有效應(yīng)對包括Bot自動化攻擊在內(nèi)的API安全威脅。

“瑞數(shù)API安全管控平臺”作為國內(nèi)首批通過中國信通院“云原生API安全能力”評估的API安全產(chǎn)品，已廣泛應(yīng)用于金融、快消、零售、運營商、能源等多個行業(yè)，為企業(yè)實現(xiàn)API安全管控和數(shù)據(jù)安全提供有力支持。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！