近幾年,說起攻防對抗,大家聊的最多的可能是0day、釣魚、供應(yīng)鏈風(fēng)險……對于一個黑客來說,如果他要挑一個既省事又好用的攻擊突破口,那首選恐怕就是API了。
API到底是什么?
API,中文名稱叫應(yīng)用程序編程接口,是現(xiàn)代移動、SaaS 和 Web應(yīng)用程序的一個關(guān)鍵組成部分。聽起來很晦澀難懂,但其實我們每個人的生活都會接觸 API:早上出門,打開手機看看天氣,天氣APP需要通過 API 提取數(shù)據(jù);到了公司,被安排出差,趕緊上網(wǎng)查票,購票網(wǎng)站更新數(shù)據(jù)用的也是API;買好票后,打開OA提交流程,OA應(yīng)用傳遞數(shù)據(jù)用的還是API……在數(shù)字經(jīng)濟時代,不論是內(nèi)部系統(tǒng)間的調(diào)用,還是各類數(shù)據(jù)匯集平臺,都大量使用了API。
為什么黑客對API情有獨鐘?
為什么API總被攻擊者盯上?概括來說,有三個原因:一、目標好找:API的職責(zé)就是應(yīng)用之間的調(diào)用,天然就是公開且暴露的;二、攻擊潛在收益高:API攜帶大量重要數(shù)據(jù)和認證信息,一旦攻擊者成功突破 API,可直達核心系統(tǒng)。三、攻擊防范較困難:大量的API權(quán)限控制不夠精細,很容易被攻擊者找到漏洞,從而輕易繞過邊界防護。
由于API通常對應(yīng)著大量高價值數(shù)據(jù),也被各種自動化的爬蟲工具高度關(guān)注,平臺運營者飽受薅羊毛、數(shù)據(jù)竊取的干擾,而API的使用也常受到流量占用等威脅的影響,無法正常工作。
API安全防護怎么做?
在攻防對抗愈演愈烈的今天,怎樣讓API的安全保護更加精準、有效?傳統(tǒng)的API安全防護依賴API網(wǎng)關(guān)與WAF、IPS類防護產(chǎn)品的配合,方案整合復(fù)雜并且針對性不足,在實戰(zhàn)當(dāng)中很容易漏防或誤報,近年來逐漸被專用的API檢測和攻擊防護系統(tǒng)所替代。
作為專用的API檢測和攻擊防護方案,盛邦安全API資產(chǎn)識別及主動防護方案為解決API安全防護問題提供了新的思路:
? 主被動結(jié)合的API資產(chǎn)發(fā)現(xiàn)能力,精準識別API資產(chǎn)攻擊面
API資產(chǎn)的暴露面很廣,但運營者往往不清楚自己有多少API,也不確定哪些是廢棄的、測試的或是有漏洞的,單純通過人工梳理或網(wǎng)關(guān)搜集很難理清,并且無法掌握狀態(tài)變化。
盛邦安全API資產(chǎn)識別及主動防護方案采用主被動結(jié)合的學(xué)習(xí)方式,可以全面識別API資產(chǎn),一方面通過流量學(xué)習(xí)來梳理活躍的API數(shù)據(jù);另一方面通過主動畫像的方式來發(fā)現(xiàn)暴露的API資產(chǎn),同時記錄API的狀態(tài)變化并結(jié)合用途屬性進行分級分類,區(qū)分在用API、廢棄API、測試API、帶病API和未知API,最終形成動態(tài)更新的API資產(chǎn)清單。
? 基于機器學(xué)習(xí)的API攻擊訓(xùn)練引擎,有效防范0day漏洞威脅
針對API的攻擊不同于傳統(tǒng)攻擊類型,并且API漏洞隱藏較深,通用的檢測方法難以形成有效防護。盛邦安全API資產(chǎn)識別及主動防護方案利用機器學(xué)習(xí)算法,構(gòu)建了一套API攻擊訓(xùn)練模型,通過持續(xù)積累和更新攻擊邏輯來訓(xùn)練檢測引擎,形成對未知威脅的識別能力,有效防范0day漏洞的威脅。
? 基于人機識別的BOT攻擊檢測防護,全面防范業(yè)務(wù)安全風(fēng)險
相比其他類型的資產(chǎn)而言,API資產(chǎn)訪問規(guī)則較為標準,因此更容易遭受BOT攻擊,除了加強對API使用權(quán)限的鑒別和管控之外,盛邦安全API資產(chǎn)識別及主動防護方案還利用人機識別的方法來發(fā)現(xiàn)各種自動化腳本、爬蟲工具和BOT工具,可以更準確地區(qū)分正常調(diào)用與非法爬取行為,從而抵御BOT攻擊的干擾,提升業(yè)務(wù)安全的保護能力。
除了部署專用的API檢測和攻擊防護方案之外,企業(yè)還需要強化API的數(shù)據(jù)保護,并進行流量限制,這對于防范數(shù)據(jù)外泄、避免 API 濫用行為有著重要意義。
盛邦安全將基于在安全技術(shù)方面的長期積累與創(chuàng)新,幫助企業(yè)更好地保護 API 的安全可靠,保證業(yè)務(wù)調(diào)用與協(xié)同的安全。
