2023API安全趋势报告
AI智能总结
CONTENTS 目录 概述02 项目背景11资产管理11敏感信息监测11缺陷识别11攻击检测11客户收益12 核心观察04 API 威胁态势分析05 API 安全发展趋势15 攻击态势06安全防护难点07行业分布分析08API 缺陷分析08被攻击 API 类型分析09攻击手段分析09 自动化攻击加剧 API 安全风险16API 安全管理更加智能化16API 安全成为云应用安全的重要组成17合规要求成为 API 安全的要素17 防护建议18 附录21 OWASP API Security TOP 10 2023 解读22API 安全事件合集26 概述 应用程序接口(Application Programming Interface,API)是一些预先被定义的接口或协议,用来实现和其他软件组件的交互。API 在应用架构上实现了软件的模块化、可重用、可扩展能力,已经成为应用系统中使用广泛的核心支撑技术之一。APP、小程序、智能家电、政务平台、数据交换等都会使用到 API 相关技术。 在数字时代下,无论是互联网商业创新还是传统企业数字化转型,都推动了 API 技术的发展,API 从只用于企业内部服务调用,到面向外部服务调用,再到如今的对外公开调用,API 已经逐步从限制性的局部接口,转向更大和更广的领域。其连接的已不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态。 * 报告中数据来源为瑞数信息防护案例及第三方公开数据采样,数据仅供参考。 API 可公开获取、标准化、高效且易于使用的特性,为开发者带来诸多好处的同时,也极大地增加了应用系统新的风险。以 Web 和 API 为例,除了传统的 Web 攻击外,API 还面临着资产管理不当、接口滥用、过度数据暴露等威胁。 Gartner 在其报告中预测,“到 2022 年,API 滥用将成为导致企业 Web 应用程序数据泄露的最常见攻击媒介。到 2024 年,API 滥用和相关数据泄露将几乎翻倍” 。中国信通院也在《应用程序接口(API)数据安全研究报告(2020 年)》中提出 API 技术在帮助企业建立业务生态沟通桥梁的同时,与之相关的安全问题也日益凸显。 近年来,越来越多的攻击者正利用 API 漏洞来实施自动化的“高效攻击”,由 API 漏洞所引发的安全事件,严重损害了相关企业和用户权益,逐渐受到各方的关注。比如: 2021 年 6 月,著名社交平台 LinkedIn 领英,有超过 7 亿用户数据在暗网出售,涉及用户的全名、性别、邮件以及电话号码、工作职业等相关个人信息。据悉,部分数据是因为 API 管理不当导致泄露。 2022 年 9 月,澳洲 Optus 公司存在未经身份验证的 API 漏洞,导致数百万用户的个人信息遭黑客窃取。 2023 年 1 月,一个包含约 2.35 亿用户信息的 Twitter 数据库在黑客论坛 Breached 上被公布,此次泄露的数据大约有 63GB,其中包括用户的姓名、电子邮件地址、Twitter 手柄、粉丝数量和账户创建日期。 核心观察 API 攻击持续走高 API 已成为企业数字业务生态系统的支柱,但同时也给了攻击者可乘之机。相关数据显示,每个企业平均管理超过 350 种不同的 API,其中 69% 的企业会将这些 API 开放给公众和他们的合作伙伴。随着 API 调用数量的增多和自动化工具的兴起,API 资产管理不当、自动化攻击、业务欺诈以及数据泄露等风险正在对企业的业务安全构成新的挑战。 API 威胁复杂化 在远程办公的背景下,员工终端更容易遭到恶意代码感染与钓鱼诈骗,同时企业应用向云端迁移已成为不可逆的趋势,不但容易遭到外部入侵者的攻击,也使得内外共谋舞弊变得更为容易,使得 API 威胁越来越复杂化。 Bot 武器更聪明 03 随着人工智能、机器学习等技术的发展,Bot 自动化攻击手段变得越来越普遍和复杂。Bot 自动化攻击可以快速、准确地扫描 API 漏洞或对 API 发起攻击,对系统造成严重威胁。 PART 1 API 威胁态势分析 API 威胁态势分析 随着数字化技术的发展和 Web API 数量的爆发性增长,API 面临的安全攻击比例已经超过传统的 Web 漏洞攻击,API 和小程序逐渐成为了很多企业和组织的流量入口,API 接口越来越丰富,引发的攻击越来越多,并且通过API 接口攻击突破 web 应用,作为跳板进入目标网络。 越来越多的攻击者正利用 API 来实施自动化的“高效攻击”,由 API 漏洞利用的攻击或安全管理漏洞所引发的数据安全事件,严重损害了相关企业和用户权益, 逐渐受到各方的关注。2022 年检测到 Web 攻击中,针对 API 的攻击占比已经超过 70%。 攻击态势 依据相关数据统计发现,2022 年比 2021 年 API 攻击增加约 60%。相关数据统计显示,虽然 2022 年受疫情影响,长时间封控在家,多数单位居家办公,但是黑灰产的攻击行为并没有因此而停止,反而增多。 防护难点 与传统的 Web 防护不同,API 的安全防护要求更为全面,需要从资产管理、缺陷识别、攻击检测、Bot 检测、参数检测、行为识别、访问控制等多个环节考虑,任何环节的缺失或不足都会影响到整体的防护效果: ·多渠道多边界难以全面防护 访问入口的多样化,带来了业务应用部署边界的多样化,如:Web、APP、小程序、第三方平台等业务接入渠道。多样化接入导致了脆弱点的暴露面扩大,增加了风险管控复杂性。在同一防护体系内融合多业务接入渠道的防护是 API 防护的难点之一。 ·接口分散和传输格式多样性导致接口难以发现 全面准确的 API 接口发现是 API 防护工作的基础,对 API 接口进行自动识别、分类尤为重要。与传统 Web应用可以依赖自身结构上的统一入口不同,API 自身多以独立个体的方式分散存在,采用点对点的访问模式,难以通过接口之间的联系进行 API 发现。同时,传输数据格式的多样性(JSON、XML、GraphQL 等)也增加了 API 的识别难度。 ·业务紧耦合防护策略难以通用 API 和业务是紧耦合的,针对 API 的防护策略往往也和业务相关,这就造成 API 防护策略在跨业务的情况下难以通用,而微服务架构和 DevOps 模式下应用快速迭代变化的特性也放大了这一难点,解决这一问题是API 防护产品快速部署推广的一个难点。 ·合法授权下的滥用风险难以识别 目前 API 在授权之后的访问控制相对薄弱,海外安全机构 Salt Security 发布《State of API Security》中显示,95% 的 API 攻击发生在身份验证之后。API 防护需要重点关注这些合法授权下的攻击、滥用及数据过度暴露等风险,如何在已经取得合法授权的请求中识别出异常访问,是 API 防护需要解决的一个难题。 行业分布 不同行业应用、业务形态的差异导致了 API 使用情况各不相同,访问量中占比最高的为互联网,其次为金融和运营商。 缺陷分析 在 OWASP 的参考中已经定义了多种 API 缺陷,但在用户生产环境中往往难以一一对应,为了更加直观的展示这些缺陷问题,我们对其进行重新的组合。最为广泛出现的 API 缺陷为过度数据暴露,其次是参数可遍历、越权访问、参数可篡改、明文密码传输、接口误暴露等。 类型分析 不同的 API 功能类型,面临的攻击程度也不一样,尤其是适合 Bot 进行自动化攻击的接口,例如公开数据查询、登录、下单等类型的接口最容易遭受攻击。 攻击手段 API 作为应用与业务的结合体,面临着双重的攻击威胁,除了遭受着传统 SQL 注入、SSRF、恶意文件上传等攻击外,还面临着各种业务层面的攻击,例如越权访问、信息遍历等。 PART 2案例分享 项目背景 客户收益 案例分享 项目背景 某客户随着业务的发展,大量的 API 被应用,成为访问服务和数据的入口,但针对 API 的防护手段比较单一,只部署了 WAF 进行粗粒度的攻击检测,缺乏针对 API 资产管理、缺陷识别、攻击检测、敏感信息监测等能力。针对用户业务系统的现状,设计了 API 安全管控方案,在上线之后对于新增的 API、失活 API、敏感信息传输等监测能力均有所提升,防护方案主要从以下几个方面入手: 资产管理 作为 API 安全防护的基础,API 安全管控平台通过 API 资产管理模块实现对 API 资产的统一管理。API 资产管理基于数据建模自动发现被保护站点的 API 资产,对 API 资产进行梳理、分析和自动标签分类,实现 API资产的生命周期管理,帮助客户发现了疏于管理的 API 共计 100 多个。 敏感信息监测 从业务流量中梳理 API 资产的同时,对流量中传输的敏感信息进行监测,对敏感信息进行分级分类,持续发现通过 API 传输的敏感信息。有些敏感信息是必要传输内容,但有部分敏感数据因接口的过度暴露而遭到不必要的泄露,对敏感信息的识别可有助发现此现象,使得客户内部敏感信息传输变得可见。 缺陷识别 在 API 资产和敏感数据资产识别的基础之上,需要检测 API 在认证、授权、数据暴露、提交检查、安全配置方面是否存在漏洞,令攻击者来利用。解决 API 在设计和开发时存在的安全问题。方案采用日志流量分析技术,辅助主动探测和人工确认,对 API 接口进行缺陷检测,发现业务应用中有存在缺陷的 API 接口,并及时反馈给相关业务部门进行整改。 攻击检测 API 攻击不仅包括传统的 web 攻击,还包括基于业务层面的攻击。针对系统的业务特性,设定了包括传统Web 攻击、业务逻辑攻击、账号破解等攻击检测策略。弥补已有 WAF 在 API 攻击检测上的不足。 客户收益 ·资产管理 API 安全管控平台自部署上线,共自动发现和确认 4475 个 API 资产,涉及 81 个业务分组。通过 API 资产管理功能,可实现对 API 资产的自动发现、确认、分组、分类;实现 API 接口与业务部门、责任人关联,为API 资产的安全管理及监控分析做好基础工作。 ·敏感数据传输监测 当前 API 系统中存在明文传输敏感数据的行为,涉及 20 个 API 分组 / 系统,241 个 API 资产,敏感数据类型包括身份证号、手机号、邮箱、银行卡等信息。梳理出了存在明文传输敏感数据的业务系统、接口路径、数据类型、访问来源等信息,为后续接口管控提供支撑。 ·缺陷识别 在运行过程中,发现系统存在未鉴权、越权访问、明文密码传输、弱口令、接口误暴露、脱敏策略不一致等多种 API 缺陷。通过缺陷识别,可以了解当前 API 在合规要求、应用安全等多方面存在的风险和隐患,便于后续有针对性的改进。 ·攻击检测 监测到 4765 次传统攻击事件,其中高风险事件 4586 件,中风险事件 179 件,攻击类型包括 SQL 注入、命令注入、扫描攻击、0day/Nday 等。通过针对 API 接口的传统攻击检测,可以提升接口安全。 PART 3 API 安全发展趋势 01自动化攻击加剧 API 安全风险 02API 安全管理更加智能化 03API 安全成为云应用安全的重要组成 04合规要求成为 API 安全的要素 自动化攻击加剧API安全风险 无论是ToC还是ToB,会有越来越多的业务依靠API来办理,越来越多的信息通过API来传输,因此,无论是内部服务器之间的API数量,还是对外开放的API数量都会井喷式地增长。同时,伴随人工智能技术的发展,自动化攻击的门槛进一步降低,攻击者可以利用机器学习算法快速生成自动化攻击脚本,经过简单修改,即可发起攻击行为,自动化工具可以短时间内迅速扫描大量的API接口,利用接口返回信息分析判断API是否存在缺陷,一旦发现可利用的缺陷便记录下来并为下一步攻击利用该缺陷做准备;由于自动化攻击脚本的便利
