API安全研究报告发布:风险形势依然严峻 API安全建设亟需加强

首页 / 业界 / 报告 /  正文
作者:laos
来源:安全419
发布于:2022-11-08
安全419关注到,威胁情报和API安全方案厂商永安在线近日发布了2022年第三季度的《API安全研究报告》,该报告基于永安在线情报系统在当季发现的一手API攻击事件汇集而成,从实际发生的风险来反映当下API安全的风险态势。报告内容显示,当前我国API安全形势依然严峻,对企业的业务和数据安全带来极大挑战。


 
针对API的攻击数量仍处高位 覆盖金融、政务等诸多行业
 
结合永安在线此前发布的一、二季度API安全报告可以发现,在2022年的前三个季度,遭受攻击的API数量平均每月超过20万个。

图片来源:永安在线《API安全研究报告》

另外,针对API的攻击几乎遍布各个行业,其中金融、政务平台、游戏行业等依然是攻击者主要目标。报告指出,由于金融、政务平台的用户数据和公民个人隐私数据等信息具有极高的获利价值,因此长期以来一直是黑产交易中的热门“商品”,这也刺激着攻击者不断对这些行业发动轮番攻击。游戏行业则是另外一个重灾区,依据永安在线蜜罐所捕获到的攻击流量数据,Q3存在大量针对游戏平台注册、登录、找回密码等API接口的攻击流量,涉及扫号、撞库、暴破攻击等。
 
显然,无论是从API攻击的整体趋势,还是对企业以及用户的影响,都是不容乐观的。由此不难看出,我国API安全风险的整体态势依然趋于严峻,而随着数字化进程的不断推进,这一趋势恐将仍会延续较长一段时间。
 
业务风险+合规风险 API安全问题可致企业遭受沉重后果
 
不可否认的是,随着近些年国家对于安全的重视程度以及相关法律法规及政策的出台,大家对于安全的认知较之以往大幅增强,但从全面性角度衡量仍有不足。相比于解决木马病毒、渗透入侵等风险的基础安全建设,API架构的安全并未得到足够的重视,这里我们要强调的是,API安全风险所能带来的后果同样不可小觑。
 
首先是业务风险以营销作弊账号攻击等场景较为突出在永安在线本年度所发布的前三季度报告中,营销作弊是API攻击中占比最高的场景。营销作弊会给平台带来大量的虚假用户,短期内似乎“促进”了用户增长,但这种虚假繁荣会严重阻碍平台及真正用户的利益,也不利于整个行业的健康发展。
 
以某数字藏品平台API攻击为例,攻击者利用该平台API接口存在安全缺陷(包括明文传输用户名和密码等接口参数),伪造相关API接口请求,从而套取活动中的奖励。下图为攻击者伪造注册接口请求:

图片来源:永安在线《API安全研究报告》(2022年Q1)
 
账号攻击是API攻击的另一突出场景。以某游戏平台遭规模化API攻击案例所示,专业攻击团伙利用扫号、撞库等行为对平台API接口发起攻击,盗取大量用户账号,从而窃取用户在游戏中的虚拟资产,除了给游戏玩家自身造成难以挽回的损失之外,该游戏平台也将面临大量的用户投诉乃至用户流失等问题,还可能会给后续业务推进、扩张带来阻力,为企业营收增长和未来发展制造障碍。
 
其次是合规风险。事实上,因API遭攻击导致数据泄露的事件并不少见,Gartner此前也曾预测,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。
 
此次报告最新案例提到,某银行信用卡在线业务申卡进度查询,API 接口只需要传入任意身份证号,不需要经过身份验证,便可以查询对应身份人是否有在该银行办理信用卡,以及申请时间、状态、产品等用户信息。犯罪分子根据这些信息可以包装出更加“真实”的诈骗场景和话术,实施精准诈骗,受害者往往更容易上当受骗。虽然永安在线指出该案例并未直接泄露用户手机号,但黑产攻击其他平台可以获取到相关手机号。
 
此前,永安在线曾监测到多起针对数字政务平台的恶意攻击事件,攻击者利用政务平台注册、查询等业务场景存在API逻辑缺陷进行攻击,从而获取到平台用户身份证、手机号、姓名、地址等个人隐私信息。下图为某地区新冠疫苗接种信息查询平台API泄露信息:

图片来源:永安在线《API安全研究报告》(2022年Q2)
 
通过这些案例可以看出,因API问题导致数据泄露并不少见,随着我国相关法律法规的日趋完善,对造成数据泄漏的企业及直接负责人的处罚力度也逐渐加强:

如2021年9月施行的《数据安全法》中,最高罚款额度高达1000万元;在2021年11月施行的《个人信息保护法》中,最高罚款额度最高达到了5000万元或上一年度营业额的5%。需特别强调的是,在2022年9月发布的《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》显示,预计将现行《网络安全法》中最高罚款额度为100万元的条款,调整为最高罚款额度为5000万元或上一年度营业额5%,力度与《个人信息保护法》完全一致。此外,可责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处罚款以及一定期限的从业禁止处罚。

但在这些风险背后,我们也应看到,作为数字化时代的重要信息基础设施之一,API承载着业务逻辑及数据交互的重要作用,因此不能因前文提到的风险而以“一刀切”的方式去绕开它,摆在面前的只有一条路——重视并加强API安全建设,让其尽可能在安全的状态下为企业、社会、国家发展创造价值。

加强API安全建设需走出误区 提升内部重视程度+引入外部专业工具“两手抓”
 
安全419迄今已同诸多企业用户、安全厂商针对API安全话题进行沟通和交流,发现导致API安全建设未能做好的原因很多,其中比较典型的主要体现在以下几个方面:
 
1、认为传统的防护手段或设备(如主流的WAF、API网关等)足以应对当前的API安全风险,实际上,传统的安全防护手段主要以边界安全为主,在安全能力无法覆盖到API敏感数据的保护,从而导致API数据泄露和违规访问的风险依然无法规避。这里以WAF和API网关举例:
 
·主流的WAF等产品目前更多的是覆盖客户端和服务器之间的南北向流量,而对不同服务器或数据中心之间的东西向流量却是一个盲区。
 
·API网关虽可以在解决授权及认证方面表现出一定的能力,但并不是所有的API都会在网关注册,而业务上会存在大量的影子API。同时,它仍然无法做到感知和防御海量虚假号码及秒拨代理发起的低频攻击。
 
因此,传统的防护手段和设备并非无用,但面对当下的API安全问题显然捉襟见肘。
 
2、具有侥幸心理,认为攻击者不会盯上自己。需强调的是,当前大多数网络攻击都是有组织的团队且利用自动化工具发动攻击,一旦这些工具在网络中发现了可被利用的漏洞,就会直接发起攻击。在这种情况下,相信每一个企业都可能是攻击者眼中的目标。
 
考虑到安全的攻防对抗本质,做安全是没有终点的,只能是不断地提升再提升,但“加强”二字说来容易,如何做呢?在我们看来,要着重做到以下“两手抓”:
 
·提升对API安全风险的重视程度,将API安全管理纳入整体安全建设之中。
 
在我们看来,这一点对企业的API安全建设及提高风险防护能力水平有着决定性作用。从管理者到相关的员工有必要真正意识到API安全风险及其危害性,包括上述的业务风险和合规风险,并将API安全管理体现在企业网络安全管理制度之中。规避API安全建设误区(如过高信赖传统安全措施对当前API风险的防护能力等),杜绝侥幸心理。
 
·引入专业API安全管理工具,积极以新技术、新思路、新方法应对风险。
 
坦率地说,多数企业都不具备独自完成较为全面的API安全能力研发和建设,因而快速有效的方式是通过引入成熟的工具、产品或解决方案,用专业力量化解专业问题,用新技术、新思路、新方法应对风险。
 
以业务优先为原则 基于情报建立API安全基线应对风险与挑战
 
为帮助企业用户更好地应对当前API安全挑战,永安在线于2021年正式推出了API安全管控平台,该平台以颇具创新性的“基于情报建立API安全基线”理念,有效地帮助企业实现对其API资产的全面盘点、预防发现阻断API攻击、提升风险事件的响应速度以及防止流动敏感数据泄漏,帮助企业构建可预防、可解释、可溯源的API安全管理体系。



业务优先、解决可见性、整体可控是做好API安全建设的原则。”永安在线COO邵付东于此前接受安全419采访时指出在业务优先的基础上,企业需要对上线的 API 进行整体地梳理,要务是实现对所有 API 资产的可视,再进行持续的 API 漏洞评估和及时感知 API 攻击风险,实现 API 风险的可控。
 
首先,在资产梳理方面,永安在线API安全管控平台能够以持续动态的方式去梳理API资产和API上流动的敏感数据,做到只要有API上线或开始服务就可被快速识别出来,并第一时间将资产信息同步给相关业务或者安全人员。不难看出,该平台在解决可见性,保证整体可控的同时,真正做到了业务优先。
 
此外,永安在线所独有的结合外部情报对流量分析能力,可对API识别引擎不断更新和完善,为更进一步提升API梳理的准确性提供了保障。据介绍,永安在线API安全管控平台的API资产识别率高达97.8%,敏感数据识别准确率更是达到了98.5%。
 
其次,在风险感知方面,通过情报(如攻击者利用的IP、自动化工具等资源)构建API安全行为基线,可更有效地感知外部API风险,且具有误判率低、可用性更高的特点。据介绍,目前永安在线API安全管控平台风险事件预警的精准度平均值可达97.66%。同时,基于情报能力可持续跟踪攻击者如何利用在野漏洞来进行攻击,通过对新型攻击面和攻击特征的分析,持续优化API漏洞检测引擎,全面覆盖API的逻辑漏洞及开源系统API的未授权漏洞等。
 
值得一提的是,对API风险的感知能力也是今年永安在线着重加强的内容,一是“蜜罐能力”的提升,通过加大全网蜜罐部署点以及优化,在针对API接口的高风险攻击事件(如敏感数据爬取、低频撞库攻击、营销账号攻击等)捕获能力上有了极大提升;二是在黑产工具识别能力的提升,通过对恶意代码分析引擎的优化,不仅可以识别更多类型的黑产工具,还可自动化提取被攻击的API接口和攻击特征,从而大幅提升了风险感知效率。
 
最后,在威胁处置方面,该平台同样有着出色表现,重点体现在两方面:一是在响应处置方面,基于精准预警输出的攻击者IOC情报,平台可在第一时间联动WAF或风控系统等设备予以快速处置,进而将针对API的攻击彻底阻断;二是针对已泄露数据的溯源方面,该平台可针对泄漏数据进行溯源分析,可精确定位到关联数据访问的账号、API、IP等,追踪数据泄漏源头,为企业进行下一步处置提供可靠依据。
 
在实际应用方面,永安在线API安全管控平台目前已广泛落地于包括金融、互联网、医疗、教育、制造等诸多行业和领域,解决问题的能力和水平也广受认可,表现值得肯定。
 
正如永安在线在报告中所指出的,API 作为应用程序之间、应用与用户之间交互的桥梁,承载着企业的业务逻辑和大量敏感数据,在数字时代呈爆发式增长,围绕 API 安全的探索必定是当下不可回避的话题。总体来看,尽管API安全风险所能造成的后果可能会极为严重,且API安全管理当前也面临诸多的痛点、难点,但对于广大的政企用户而言并非缺乏对策,一是要从自身内部入手,对API安全风险建立正确认知,这是能够建立起有效API安全防护能力的必要前提;二是要借鉴国内同行及安全企业的最佳实践,通过引入专业的API管理工具、产品或解决方案,快速建立起真正有效的API安全防线。同时也希望包括以永安在线为代表的安全企业们,能够始终坚持创新,不断推陈出新,助力企业用户构建完善的 API 安全防护体系,为其业务数字化转型保驾护航。
 
点击此处,阅读“报告原文”。