提升API安全性至关重要 RASP如何为企业API安全策略打开局面?

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:2022-08-23
美国联邦网络安全审查委员会最近的一份报告指出,当前Log4j漏洞对产业界的影响并未结束,这一漏洞或许在未来十年甚至更长的时间内持续引发安全风险,谁也不知道下一个Log4j或Spring4Shell漏洞何时会出现。唯一能够确认的是,在接下来的每一次0Day安全事件中,组织内部的应用程序和编程接口 (API) 都将受到全面破坏。
 
随着互联网技术的发展,API作为连接服务与传输数据的核心通道,在企业的发展过程中愈发重要的角色。但事实上,API可能具有与传统 Web 应用程序几乎相同的所有漏洞,包括 SQL 注入、服务器端请求伪造、不安全的反序列化等等,其背后隐藏着不可忽视的安全风险。


API安全当前主要面临以下四个方面的严峻挑战:
 
1、真正的攻击很难识别。每个 API 都有其独特的漏洞,只能通过特定的攻击来利用。比如,对一个 API 完全无害的 HTTP 请求或许对另一个 API 可能是毁灭性的; 

2、现代 API 使用的格式十分复杂,如 JSON、XML、序列化对象和自定义二进制格式等。这些请求使用 HTTP 之外的各种协议,包括 WebSocket,它由浏览器、富客户端、移动应用程序和许多其他来源中的 JavaScript 生成。 

3、传统的防御根本无效。Web 应用程序防火墙 (WAF) 通过在 HTTP 流量到达 API 服务器之前对其进行分析,从而完全独立于 API 运行。尽管大多数大型组织都有 WAF,但许多组织缺乏进行必要调整以保持其运行所需的团队和专业知识,只能将其置于“日志模式”。 

4、软件正在快速发展,容器、基础设施即服务 (IaaS)、平台即服务 (PaaS)、虚拟和弹性环境出现爆炸式增长。新的信息技术应用允许快速部署 API,但它们也进一步扩大了代码暴露面。
 
因此,为了应对API安全带来的挑战,避免给业务造成无法承受的损失,组织必须积极对已知和未知的漏洞进行探测和防御,阻止攻击者每一次对利用漏洞发起攻击的意图。
 
RASP技术如何补充传统安全方案在API方面的不足
 
随着API安全理念的兴起,网络安全企业都逐渐丰富了在API领域的防护能力,但业内一些传统的入侵检测方案和传统的应用防火墙(WAF)在进出API接口分析流量和数据方面的表现仍然不佳。
 
相较而言,运行时应用程序自我保护 (RASP)技术正在API安全防护中承担越来越多的工作。 RASP 提供了两个关键功能:
 
首先,它可以准确了解攻击组织的人在组织的 API 上使用的攻击向量,以及组织的哪些 API 是攻击者正在尝试突破的目标。其次,RASP 可以在漏洞利用的环节阻止攻击者,这一能力在当前大多数主要类别的漏洞,包括零日漏洞和自定义代码漏洞方面都能够发挥作用。
 
RASP的工作方式与WAF的不同之处在于,RASP 使用工具将轻量级探针添加到组织的 API 代码和平台中,这些探针可以直接测量 API 的安全相关行为并检测恶意事件。与部署在边界的安全防御设备不同,它可以准确跟踪攻击并防止漏洞被利用,从而让用户确定攻击是否实现。
 
得益于此,RASP能够立即检测、阻止和缓解攻击,通过分析攻击行为和上下文来实时保护攻击,可以无需调整或重新配置即可抵御广泛的零日攻击。通过使用应用程序或 API 持续监控自己的行为,RASP 能够保护 API 免受数据盗窃、恶意输入和行为的影响,同时也无需人工干预。并能够为 AppSec、SecOps 和开发团队提供准确、详细的信息,包括有效负载、完整的 HTTP 请求、确切的代码行、执行的查询、访问的文件等等。
 
作为一种更深入的安全工具,RASP自动将可见性和保护直接编织到 API 中,这极大限度地减少了0Day漏洞带来的不眠之夜,为开发和安全运营人员提供了喘息的空间。
 
事实上,早在 Log4Shell 和 Spring4Shell 漏洞爆发的时候,就已经证明了RASP技术的有效性,它从根本上防止了攻击者通过表达式语言注入和不安全的反序列化等各种方式对漏洞进行恶意的利用。对于用户而言,无需更新漏洞补丁这件事情的价值已经无需多言,再没有什么安全技术能够像RASP这样让他们感到安心。