为了让各行业更好地应对API安全威胁挑战,作为国内首批具备“云原生API安全能力”认证的专业厂商,瑞数信息于近日正式发布《2023 API安全趋势报告》(以下简称“报告”)。从API威胁态势、攻击手段、API安全发展趋势等多个方面进行深度分析,剖析典型的API攻击案例,并结合API趋势提供了防护建议。
API攻击防护案例分享
项目背景
某客户随着业务的发展,大量API被应用,成为访问服务和数据的入口,但针对API的防护手段比较单一,只部署了WAF进行粗粒度的攻击检测,缺乏针对API资产管理、缺陷识别、攻击检测、敏感信息监测等的能力。
针对用户业务系统的现状,瑞数信息设计了API安全管控方案,在上线之后对于新增的API、失活API、敏感信息传输等监测能力均有所提升,防护方案主要从以下几个方面入手:
资产管理
作为API安全防护的基础,API安全管控平台通过API资产管理模块实现对API资产的统一管理。API资产管理基于数据建模自动发现被保护站点的API资产,对API资产进行梳理、分析和自动标签分类,实现API资产的生命周期管理,帮助客户发现了疏于管理的API共计100多个。
敏感信息监测
从业务流量中梳理API资产的同时,对流量中传输的敏感信息进行监测,对敏感信息进行分级分类,持续发现通过API传输的敏感信息。有些敏感信息是必要传输内容,但有部分敏感数据因接口的过度暴露而遭到不必要的泄露,对敏感信息的识别可有助发现此现象,使得客户内部敏感信息传输变得可见。
缺陷识别
在API资产和敏感数据资产识别的基础之上,需要检测API在认证、授权、数据暴露、提交检查、安全配置方面是否存在漏洞,以防攻击者来利用。解决API在设计和开发时存在的安全问题。方案采用日志流量分析技术,辅助主动探测和人工确认,对API接口进行缺陷检测,发现业务应用中有存在缺陷的API接口,并及时反馈给相关业务部门进行整改。
攻击检测
API攻击不仅包括传统的Web攻击,还包括基于业务层面的攻击。针对系统的业务特性,设定了包括传统Web攻击、业务逻辑攻击、账号破解等攻击检测策略。弥补已有 WAF在API攻击检测上的不足。
攻击检测
API攻击不仅包括传统的Web攻击,还包括基于业务层面的攻击。针对系统的业务特性,设定了包括传统Web攻击、业务逻辑攻击、账号破解等攻击检测策略。弥补已有 WAF在API攻击检测上的不足。
客户收益
资产管理
API安全管控平台自部署上线,共自动发现和确认4475个API资产,涉及81个业务分组。通过API资产管理功能,可实现对API资产的自动发现、确认、分组、分类;实现 API接口与业务部门、责任人关联,为API资产的安全管理及监控分析做好基础工作。
敏感数据传输监测
当前API系统中存在明文传输敏感数据的行为,涉及20个API分组/系统,241个API资产,敏感数据类型包括身份证号、手机号、邮箱、银行卡等信息。梳理出了存在明文传输敏感数据的业务系统、接口路径、数据类型、访问来源等信息,为后续接口管控提供支撑。
缺陷识别
在运行过程中,发现系统存在未鉴权、越权访问、明文密码传输、弱口令、接口误暴露、脱敏策略不一致等多种API缺陷。通过缺陷识别,可以了解当前API在合规要求、应用安全等多方面存在的风险和隐患,便于后续有针对性的改进。
攻击检测
监测到4765次传统攻击事件,其中高风险事件4586件,中风险事件179件,攻击类型包括SQL注入、命令注入、扫描攻击、0day/Nday等。通过针对API接口的传统攻击检测,可以提升接口安全。
