API攻擊防護(hù)：為賬戶接管（ATO）攻擊做好準(zhǔn)備

在不斷變化的威脅環(huán)境中，網(wǎng)絡(luò)犯罪分子將API作為其進(jìn)行賬戶接管（ATO）攻擊的新利器，因為API可以直接訪問有價值的資源和功能。API威脅已發(fā)展成為一個嚴(yán)重的問題，OWASP不久前發(fā)布了他們的2023年十大API安全風(fēng)險清單，來幫助企業(yè)判斷需要重視的領(lǐng)域。

犯罪分子已將API視為ATO攻擊的入手處：惡意Bot攻擊，包括撞庫攻擊和濫用業(yè)務(wù)邏輯漏洞，甚至是DDoS攻擊，這通常導(dǎo)致應(yīng)用停機(jī)、身份盜竊和欺詐。這些攻擊比以往更容易通過現(xiàn)有工具進(jìn)行編排，且難以被傳統(tǒng)的Bot防御技術(shù)檢測出來。

F5首席技術(shù)官辦公室預(yù)計，未來幾年內(nèi)，API數(shù)量將呈指數(shù)增長。到2030年，API數(shù)量可能從5億增加到超過15億。不幸的是，這對于不斷追求擴(kuò)大目標(biāo)的網(wǎng)絡(luò)犯罪分子來說是個好消息。

API蔓延導(dǎo)致盲點和漏洞的產(chǎn)生

1.開放式設(shè)計和可預(yù)測的結(jié)構(gòu)創(chuàng)造了許多易受攻擊的入口。

開發(fā)人員傾向于構(gòu)建靈活的API，具有可預(yù)測的結(jié)構(gòu)，符合邏輯架構(gòu)（例如REST），這使得犯罪分子能夠輕松探測可能已經(jīng)暴露的附加數(shù)據(jù)。

2.跨部門的可視化降低，觀察API活動困難，尤其當(dāng)您不知道API的存在時。

API通常在SecOps團(tuán)隊了解之前就已經(jīng)發(fā)布，從而創(chuàng)建了一個陰影或僵尸API生態(tài)系統(tǒng)，并缺乏對API流量的端到端可視化。

3.增加的復(fù)雜性會產(chǎn)生未受管理和不安全的API，從而增加攻擊面。

分布式環(huán)境和服務(wù)的增多使得持續(xù)發(fā)現(xiàn)、管理和監(jiān)視所有API變得具有挑戰(zhàn)性，從而導(dǎo)致威脅數(shù)量的增加，提高了安全和隱私事件的脆弱性。

現(xiàn)有的安全控制可能無法保護(hù)API免受ATO攻擊

現(xiàn)代惡意Bot攻擊不斷進(jìn)化，導(dǎo)致傳統(tǒng)的Bot防御工具在維持效力方面失效。對于API來說，這個問題可能會變得更加嚴(yán)重，因為Bot攻擊被用于以各種新的和不同的方式來攻擊API，從自動化的探測掃描到操縱資源和業(yè)務(wù)邏輯漏洞，以及進(jìn)行撞庫攻擊和注入攻擊。

API撞庫攻擊是解釋為什么傳統(tǒng)的Bot防御策略會讓您暴露的一個很好的例子。一些API在提交用戶名和密碼后會提供身份驗證令牌，類似于登錄網(wǎng)站。該令牌通常用于對API發(fā)出的所有其他請求。這是API中常見的模式，特別是較舊的API，它容易受到撞庫和密碼噴灑攻擊的攻擊。

區(qū)分攻擊者和真實客戶很難，因為這些有針對性的手段可以繞過大多數(shù)傳統(tǒng)的控制。傳統(tǒng)的安全控制，如基本的Web應(yīng)用防火墻（WAF）和安全信息和事件管理（SIEM）系統(tǒng)，不足以識別和防御針對API的Bot攻擊，部分原因是由于大量的機(jī)器對機(jī)器，或API對API的流量。攻擊在表面上可以看起來像正常的應(yīng)用行為，但在幕后，API可能會被利用和濫用，使攻擊者能夠逃脫檢測。

為防御ATO攻擊而實施成功的API安全策略，需要多方警惕

API安全是整個企業(yè)共同的責(zé)任，需要關(guān)注會導(dǎo)致數(shù)據(jù)泄露的Bot攻擊，以及影響傳統(tǒng)Web應(yīng)用和現(xiàn)代API架構(gòu)的針對可用性和可靠性的攻擊。

在涉及API安全和通過API進(jìn)行未經(jīng)授權(quán)訪問的保護(hù)方面，無論是通過撞庫攻擊、暴力破解還是其他強(qiáng)制性登錄嘗試機(jī)制，先進(jìn)的人工智能/機(jī)器學(xué)習(xí)可以通過識別登錄失敗嘗試活動或嘗試發(fā)現(xiàn)API參數(shù)，并為運營團(tuán)隊標(biāo)記這些嘗試，供其審核。

在2022年的《應(yīng)用策略報告》中，有68％的受訪者將身份驗證和授權(quán)視為API安全中最有價值的組件，緊隨其后的是行為分析和異常檢測，以監(jiān)控生產(chǎn)（運行時）中的API。

企業(yè)應(yīng)加強(qiáng)其API安全，包括驗證連接和訪問權(quán)限，監(jiān)控并警報長期行為，幫助識別異?？蛻粜袨椋源_定潛在的威脅。

1.持續(xù)監(jiān)控和保護(hù)API端點，以識別應(yīng)用集成的變化，檢測脆弱組件，并通過第三方集成來減輕攻擊。

2.實施與CI/CD流水線集成的主動安全模型，并支持OpenAPI和Swagger接口規(guī)范，以便輕松驗證模式，執(zhí)行協(xié)議合規(guī)性，自動基線正常流量模式，并檢測異常行為。

3.采納零信任和以風(fēng)險為基礎(chǔ)的安全策略，通過采用最低特權(quán)訪問原則，檢查有效載荷，防止未經(jīng)授權(quán)的數(shù)據(jù)暴露，并為對象和功能實施訪問控制和基于風(fēng)險的身份驗證。這應(yīng)包括收集情報并建立與您的API相關(guān)的Bot正常行為基線。通過利用行為和模式分析、工作流驗證和指紋識別，您可以區(qū)分人類、“好”的Bot和惡意Bot活動。

4.在不斷變化的應(yīng)用生命周期中采取措施，防止跨異構(gòu)環(huán)境的安全配置錯誤，減輕濫用行為，并在云和架構(gòu)之間始終保持一致威脅管理。持續(xù)掃描、測試和監(jiān)視您的API，以發(fā)現(xiàn)配置錯誤、漏洞和業(yè)務(wù)邏輯缺陷。

我們推薦您使用“保護(hù)API和第三方集成安全”，讓貴企反應(yīng)迅速，識別API環(huán)境中的潛在問題，深入調(diào)查，并根據(jù)需要采取行動，來消除可能影響連接性、可用性或應(yīng)用和API安全性的任何異?；蛲{。

圖片

掃描二維碼

解更多關(guān)于API安全的信息

圖片

參考資料：

https://www.f5.com/content/dam/f5/corp/global/pdf/ebooks/api-security-best-practices.pdf

https://cloud.google.com/resources/api-security-research-report

https://www.f5.com/pdf/white-paper/f5-distributed-cloud-waap-with-comprehensive-api-security-white-paper.pdf

https://www.f5.com.cn/go/ebook/mastering-api-architecture-oreilly