隨著對企業網路的攻擊愈趨複雜,公司企業紛紛購入最新防火牆技術、資料及終端防護、入侵預防技術等強化升級自身邊界安全。但道高一尺魔高一丈,駭客們也邁向了新的弱點,找尋新的漏洞利用途徑。很多安全專家認為,下一波企業駭客攻擊事件將會透過應用程式程式設計介面(API)利用來進行。
事實上,網路罪犯們早已開始盤算利用API執行攻擊了。Panera Bread 資料洩露事件就是其中一個案例。這家烘焙連鎖店的網站上開放了一個未經驗證的API終端,任何人都可以透過該API檢視其客戶資訊,比如使用者名稱、郵箱地址、電話號碼、信用卡後四位、生日等等。最終,8個月的時間裡,該公司3700萬客戶資料被洩。由此,如何在不影響敏捷開發與功能擴充套件效益的情況下最小化API相關網路安全風險的問題,引起了業界注意與討論。
應用程式開發中的API使用已成為新的實際標準,透過整合第三方服務的功能,開發人員不用再從無到有自己構建所有功能。這麼做可以加快新產品及服務的開發過程。消費研究公司 One Poll 的一項調查表明,公司企業平均管理著363個API,其中69%的公司會向公眾及其合作伙伴開放這些API。開發人員可以透過搜尋API庫來增強其程式碼,比如 API Hound 庫就使用機器掃描器收納了5萬多個API,ProgrammableWeb則維護著全球最大的人工收錄的API目錄(內含1。7萬個以上API)。
儘管API支撐著使用者早已習慣的互動式數字體驗,是公司數字化轉型的基礎,但它們同時也為惡意駭客提供了訪問公司資料的多種途徑,甚至能被用於引發大範圍業務中斷。利用API的常見攻擊方式包括:
API引數篡改——駭客常用該技術逆向工程API或獲得敏感資料的訪問權。
會話cookie篡改——此類攻擊試圖利用cookie繞過安全機制或嚮應用伺服器傳送虛假資料。
中間人攻擊——透過監聽API客戶端和伺服器之間未經加密的連線,駭客可獲取到敏感資料。
內容篡改——透過注入惡意內容(比如往 JSON Web 標記中下毒),攻擊者能在後臺部署並執行漏洞利用程式。
DDoS攻擊——攻擊者可利用編寫糟糕的程式碼透過傳送無效輸入引數來消耗計算機資源,造成基於API的Web應用服務中斷。
公司企業可採取以下預防措施來減少API威脅風險:
1. 安全思維貫徹開發過程始終
一個很不幸的現狀是,軟體開發過程中DevSecOps(敏捷開發運維安全)往往被忽視,甚至面向公網的API安全也被忽視。開發人員需在整個開發過程中考慮API使用的安全影響,多想想API會在哪些方面被用於惡意目的。
API安全的基礎在於實現可靠的身份驗證和授權原則。開發人員常會使用來自外部過程(例如註冊API時)的訪問憑證,或透過單獨的機制(例如OAuth)來訪問API。憑證隨每次訪問請求傳送給API,API在處理請求之前先驗證憑證的有效性。
2. 應用行業安全最佳實踐和標準
應用編碼最佳實踐並密切關注常見API漏洞(例如SQL/指令碼注入和身份驗證漏洞),應成為開發人員和DevSecOps人員的核心最佳操作。編碼最佳實踐和常見API漏洞資訊可在開放Web應用安全計劃(OWASP)中找到。
3. 透過API閘道器進行監視
將獨立的API集中儲存到應用程式碼庫中,就可用API閘道器來監視、分析和限制流量,最小化DDoS風險,實現預設的安全策略(例如身份驗證規則)。One Poll 資料顯示,80%的公司企業使用公共雲服務保護他們API背後的資料,大多數公司綜合使用API閘道器(63。2%)和Web應用防火牆(63。2%)。
採用這些DevSecOps建議可以最小化與API暴露相關的安全風險,讓應用程式免受網路安全事件侵害。
