近期， Imperva 發(fā)布的《2024 年 API 安全狀況報(bào)告》中提到，2023 年的大部分互聯(lián)網(wǎng)流量（71%）都是由 API 調(diào)用，通過(guò) API 傳輸?shù)拇罅炕ヂ?lián)網(wǎng)流量應(yīng)該引起每一位網(wǎng)絡(luò)安全專家的關(guān)注。

目前，盡管大部分企業(yè)已經(jīng)盡最大努力采用了左移框架和 SDLC 流程，但 API 仍經(jīng)常在編目、驗(yàn)證或?qū)徲?jì)之前就被嵌入到了業(yè)務(wù)流程中（企業(yè)在生產(chǎn)中平均擁有 613 個(gè) API 端點(diǎn)），隨著當(dāng)下向客戶更快、更高效地交付數(shù)字服務(wù)的壓力不斷增加，這一數(shù)字也在迅速擴(kuò)大。

隨著時(shí)間推移，API 可能會(huì)成為有風(fēng)險(xiǎn)、易受攻擊的端點(diǎn)。

Imperva 在報(bào)告中指出，鑒于API 是訪問(wèn)敏感數(shù)據(jù)的直接途徑，早已成為網(wǎng)絡(luò)威脅攻擊者的常見(jiàn)攻擊載體。事實(shí)上，Marsh McLennan 網(wǎng)絡(luò)風(fēng)險(xiǎn)分析中心的一項(xiàng)研究發(fā)現(xiàn)，與 API 相關(guān)的安全事件每年給全球企業(yè)造成的損失高達(dá) 750 億美元。

API 調(diào)用量越高，會(huì)出現(xiàn)更多安全問(wèn)題

值得一提的是，研究發(fā)現(xiàn)相比其他行業(yè)，銀行業(yè)和在線零售業(yè)在 2023 年的 API 調(diào)用量最高，這兩個(gè)行業(yè)都依賴大型 API 生態(tài)系統(tǒng)向客戶提供數(shù)字服務(wù)。網(wǎng)絡(luò)威脅攻擊者使用各種”手段“攻擊 API 端點(diǎn)，其中一個(gè)常見(jiàn)的攻擊載體便是賬戶接管（ATO）。當(dāng)網(wǎng)絡(luò)威脅攻擊者利用 API 身份驗(yàn)證流程中的安全漏洞，未經(jīng)授權(quán)訪問(wèn)賬戶時(shí)，就會(huì)發(fā)動(dòng)這種攻擊。

2023 年，近一半（45.8%）的 ATO 攻擊以 API 端點(diǎn)為目標(biāo)，這些”企圖“通常是以惡意機(jī)器人的形式通過(guò)自動(dòng)化來(lái)實(shí)現(xiàn)（注:惡意機(jī)器人是指懷有惡意運(yùn)行自動(dòng)化任務(wù)的軟件代理)。考慮到銀行以及其他金融機(jī)構(gòu)管理的客戶數(shù)據(jù)信息價(jià)值，ATO 是一個(gè)非常令人擔(dān)憂的業(yè)務(wù)風(fēng)險(xiǎn)。

這種攻擊一旦成功，網(wǎng)絡(luò)威脅攻擊者就會(huì)立刻鎖定受害者的賬戶，盜取敏感數(shù)據(jù)。不僅僅造成經(jīng)濟(jì)損失，還會(huì)增加違規(guī)風(fēng)險(xiǎn)。

為什么管理不善的 API 會(huì)帶來(lái)安全威脅？

目前來(lái)看，因?yàn)闆](méi)有受到合理的監(jiān)管，以及缺乏足夠的身份驗(yàn)證控制，導(dǎo)致每 10 個(gè)應(yīng)用程序接口中就有近一個(gè)容易受到網(wǎng)絡(luò)攻擊，降低 API 的安全風(fēng)險(xiǎn)具有很大挑戰(zhàn)，即使最成熟的安全團(tuán)隊(duì)也會(huì)為此感到”棘手“。其中主要的問(wèn)題源于軟件開(kāi)發(fā)的快節(jié)奏，以及缺乏成熟的工具和流程來(lái)幫助開(kāi)發(fā)人員和安全團(tuán)隊(duì)更好地協(xié)同工作。

Imperva 在報(bào)告中指出了影子 API、廢棄 API 和未認(rèn)證 API三種常見(jiàn)的 API 端點(diǎn)管理不善類型，它們會(huì)給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)：

影子 API： 這些 API 也稱為未記錄或未發(fā)現(xiàn)的 API，它們不受監(jiān)督、被遺忘和或不在安全團(tuán)隊(duì)的可見(jiàn)范圍內(nèi)。據(jù) Imperva 估計(jì)，影子 API 占每個(gè)組織活動(dòng) API 集合的 4.7%。如果不對(duì)這些 API 端點(diǎn)進(jìn)行適當(dāng)?shù)木幠炕蚬芾?，就?huì)出現(xiàn)安全問(wèn)題。

企業(yè)應(yīng)該關(guān)注影子 API，它們通?？梢栽L問(wèn)到敏感信息，但沒(méi)有人知道它們的存在位置或連接內(nèi)容。一個(gè)影子 API 就可能導(dǎo)致合規(guī)違規(guī)和監(jiān)管罰款，更有甚者，有動(dòng)機(jī)的網(wǎng)絡(luò)犯罪分子會(huì)濫用它來(lái)訪問(wèn)企業(yè)的敏感數(shù)據(jù)。

廢棄的 API： 廢棄 API 端點(diǎn)是軟件生命周期中的一個(gè)自然過(guò)程。因此，隨著軟件的快速、持續(xù)更新，被廢棄的 API 并不少見(jiàn)。

事實(shí)上，據(jù) Imperva 估算，已廢棄的 API 平均占企業(yè)活動(dòng) API 集合的 2.6%。當(dāng)端點(diǎn)被廢棄時(shí)，支持此類端點(diǎn)的服務(wù)就會(huì)更新，對(duì)廢棄端點(diǎn)的請(qǐng)求就會(huì)失敗。但是，如果服務(wù)沒(méi)有更新，API 也沒(méi)有刪除，端點(diǎn)就會(huì)因?yàn)槿狈Ρ匾难a(bǔ)丁和軟件更新而變得脆弱。

未經(jīng)驗(yàn)證的 API： 未驗(yàn)證的 API 通常是由于配置錯(cuò)誤、匆忙發(fā)布過(guò)程中的疏忽或?yàn)檫m應(yīng)舊版本軟件而放寬了嚴(yán)格的驗(yàn)證過(guò)程而引入的。這些應(yīng)用程序接口平均占企業(yè)活動(dòng)應(yīng)用程序接口集合的 3.4%。未經(jīng)身份驗(yàn)證的 API 的存在給企業(yè)帶來(lái)了巨大的風(fēng)險(xiǎn)，因?yàn)樗赡軙?huì)將敏感數(shù)據(jù)或功能暴露給未經(jīng)授權(quán)的用戶，從而導(dǎo)致數(shù)據(jù)泄露或系統(tǒng)操縱。

為降低管理不善的 API 帶來(lái)的各種安全風(fēng)險(xiǎn)，建議企業(yè)進(jìn)行定期審計(jì)，以識(shí)別未監(jiān)控或未經(jīng)身份驗(yàn)證的 API 端點(diǎn)。此外，開(kāi)發(fā)人員應(yīng)定期更新和升級(jí) API，以確保用更安全的替代品取代過(guò)時(shí)的端點(diǎn)。

如何最大程度降低 API 的安全風(fēng)險(xiǎn)

API 的安全風(fēng)險(xiǎn)與日俱增，嚴(yán)重影響了企業(yè)正常經(jīng)營(yíng)生產(chǎn)。對(duì)此，Imperva 提出了幾項(xiàng)建議，以幫助企業(yè)改善 API 安全狀況：

發(fā)現(xiàn)、分類和清查所有 API、端點(diǎn)、參數(shù)和有效載荷，使用持續(xù)發(fā)現(xiàn)來(lái)維護(hù)始終最新的 API 清單，并披露敏感數(shù)據(jù)的暴露情況；

識(shí)別并保護(hù)敏感和高風(fēng)險(xiǎn) API，執(zhí)行風(fēng)險(xiǎn)評(píng)估，特別是針對(duì)易受授權(quán)和身份驗(yàn)證漏洞以及過(guò)度數(shù)據(jù)暴露影響的 API 端點(diǎn)；

為 API 端點(diǎn)建立強(qiáng)大的監(jiān)控系統(tǒng)，主動(dòng)檢測(cè)和分析可疑行為和訪問(wèn)模式；

采用 API 安全方法，將 Web 應(yīng)用程序防火墻 (WAF)、API 保護(hù)、分布式拒絕服務(wù) (DDoS) 防范和僵尸程序保護(hù)整合在一起。

參考文章：

https://thehackernews.com/2024/03/apis-drive-majority-of-internet-traffic.html