[调查]API安全成为威胁新趋势
约66%的公司企业表示,由于API安全问题,已延缓在生产环境中部署应用。
近几个月来,研究人员第二次警示不安全应用编程接口(API)对企业安全造成的威胁。
去年11月,咨询公司佛瑞斯特研究就警告称,公司企业未能像对付应用程序漏洞一样处理API漏洞,并因此造成自身越来越暴露在API相关安全漏洞的威胁之下。
今年3月初,安全公司Salt Security发布API安全报告,报告综合了该公司针对200名IT及安全人员的调查反馈和来自该公司客户的实证数据。
结果显示,91%的受访公司企业去年经历过API相关问题。超过半数(54%)的受访企业在其API中发现了漏洞,46%的受访企业出现了身份验证问题,而20%指出了爬虫和数据抓取工具引发的问题。
Salt Security副总裁Michelle McLean称:“2020年最普遍的API安全事件就是在生产环境API中发现漏洞。”
调查结果显示,尽管公司企业开始应用安全左移原则,尽量在开发生命周期早期阶段就集成安全控制措施,但这项工作仍未做到位。
“公司企业需补强在构建和部署运行时安全的过程中所用的安全战术。”
普遍程度仅次于生产环境API漏洞的安全事件主要围绕身份验证问题,攻击者能够以某种方式玩弄身份验证机制,获取敏感数据。其他常见问题还包括账户滥用和拒绝服务攻击,也就是攻击者发起足量受控API流量中断API背后应用的正常运行。
McLean指出:“API是公司企业的一大风险来源。攻击者目前正大肆利用API,而现有策略和技术并不足以提供充分的保护。”
应用和应用组件能够借助API在内部网络上相互通信,且照目前趋势看来,应用和应用组件之间的通信将更多依赖API在互联网上进行。最初,API一般用在安全私有网络和信道上。如今,越来越多的公司企业利用API将内部应用和原有系统及服务通过互联网共享给客户、合作伙伴、供应商和其他第三方。公司企业用于内部应用互联和连接外部世界的API可能多达成百上千个。安全分析师曾经指出,如果防护不周,API相当于为外部人员访问公司关键数据和应用提供了直接通道。
攻击者最常用的API漏洞利用手法,是篡改用户身份标识(ID)号等API可能有权访问的对象。
McLean举例称:“攻击者通过身份验证登录应用,用他们自己的ID发起通信,然后在一系列后续API调用中将此用户ID对象改成另一个用户ID。然后他们就能访问与此另一ID相关联的敏感信息了。”
▶ API安全阴霾笼罩
Salt Security的调查发现,由于API安全相关的顾虑,三分之二的公司企业放缓了往生产环境推出新应用的脚步。该公司的客户数据显示,从去年6月到12月,每月每客户遭遇的API攻击数量从50次骤增到80次。另外,Salt Security客户的月度平均API调用规模增长51%的同时,恶意流量却暴增了211%。
McLean表示,攻击者利用这些恶意API流量来染指API连接的数据,或者中断API赋能的服务。举个例子,攻击者会在API调用期间修改账户号,或者操纵API调用插入成百上千个可能的凭证,以期匹配几个已有真实凭证。
Salt Security的调查还反映出,即使趋势明显,很多公司企业对待此类问题的态度还是相对无动于衷:超过四分之一(27%)的受访企业承认根本没有应对API安全问题的策略,54%的受访企业认为自己的策略最多达到基础水平。83%的受访企业坦陈不了解自身API使用情况,82%不确定自己是否清楚那些暴露PII、持卡人信息和其他敏感信息的API。
超过20%的受访企业承认无法了解到底哪些API暴露了个人可识别信息,还有很多企业表示自身最大的顾虑是网络上普遍存在过时僵尸API。
McLean认为,解决这些问题需要一套完备的API安全策略。这意味着建立起保护整个API生命周期的机制。公司企业需设置在构建阶段、部署阶段和生产环境运行阶段验证API的控制措施。
此外,还应考虑培育API编写团队和API所连数据与服务的安全防护团队之间的协作。
“开发人员不具备安全团队那种‘攻击者思维’,而安全团队并不天天编程,不像开发人员那么熟悉API结构。”
只有确保两个团队相互协作,才能充分保护好企业API。
Salt Security调查报告:https://salt.security/api-security-trends
关键词:API安全